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WAS へ よう こそ 


WAS へ よう こそ 


Qualys Web Application Scanning (WAS) は 、 攻撃 者 を 阻止 し て Web アプ リケーション の 安全 を 維持 する 
こめ に 必要 な 使い や すい 一 元 管理 機能 A 組織 に 提供 し ます 。 Qualys WAS に より 、 Web アプ 


リケーション の 脆弱 性 の 評価 、 追 跡 、 改善 が 可能 で す 。 
主 な 機能 


-Web アプ リケーション (イン トラ ネッ ト 、 イ ンタ ーネット ) を 巡回 し 、 脆 弱 性 を スキ ャ ン 


- 柔軟 性 の 高い ワー ク フ ロ ー と レポ ー ト 機能 を 備え た 完全 な 対話 


ZO UI 


- Web ZZ V/r—zavitdk S37 — 27 REST. — 7 00 MR Ze MESE. 


- ブ ラック リス ト / ホ ワイ トリ スト 、robots.txt、sitemap.xml な ど に よる カス タマ イズ 


= 一 般 的 な 認 証 方 式 を サポ ー ト 


- 推奨 され る セキ ュ リ ティ コー ディ ング の 実行 と 設定 に 関す る レポート を 表示 


堅 中 で スケ ー ラ ブル な スキ ャ ン 機 能 


- JavaScript や 埋め 込み Flash を 含む HTML Web アプ リケーション の スキ ャ ン を サポ ー ト 


- カス タム の Web アプ リケーション に 存在 する 脆弱 性 (OWASP の 上 位 10 件 の 脆弱 性 な ど ) の 包括 的 な 検出 
- 悪用 され る お それ の ある フォ ー ル トイ ンジ ェクション の 間 題 と 


ほな る 情報 開示 と を 区 別 


- カス タム の Web アプ リケーション の 動作 に 関す る プロ ファ イル を 作成 


- カス タマ イズ 可能 な パフ ォ ー マ ンス レベ ル に より 、 ス キャ ン の 


Qualys クラ ウド プラ ッ ト フ ォ ー ム - ユー ザ の メリ ッ ト 
Java ベー ス の バッ クエ ンド で 実装 され た 新しい テク ノロ ジ に よ 


- 動 的 な 対話 形式 の イン タフ ェ ー ス 、 ウ ィ ザ ー ド 、 新 し い レ ポー 
ざま な 表示 オプ ショ ン を 使用 し て スキ ャ ン デ ー タ を 表示 


- カス タマ イズ 可能 な テン プレ ー ト 形式 の レポ ー ト エン ジン に よ 
pdf、ppt、xml、cvs) で レポ ー ト を 出力 


パフ ォ ー マ ンス を 設定 


り 、 次 の 数 多く の メリ ッ ト が 提供 され ます 。 


ト テ ンプ レート を 備え た UI に より 、 さ ま 


り 、 さ まさ ざま な 形式 (html, pdf MAE 


- スキ ャ ン 結 果 、 ア セッ ト デ ー タ 、 ス キャ ンプ ロフ ァイル 、 ユ ー ザ 、 脆 弱 性 な ど 、Qualys の 広範 な 各種 デー 


タ セ ッ ト を 高速 で 検索 


- タグ ( 静 的 お よび 動 的 ) の 作成 お よび 管理 に より 、Web アプ リケーション を グル ー プ 化し て 体系 化 
- 可用性 と 負荷 に 基づい て 複数 スキ ャ ナ に 動 的 に スキ ャ ン を 分 散 す る こと に より 大 規模 ネッ トワ ー ク の ス 


キャ ン を 最適 化し 、 大 規模 な スキ ャ ンジ ョ ブ に 要する 合計 スキ ャ 


ン 時 間 を 大 幅 に 短縮 


WAS へ よう こそ 


REST API スキ ャ ン 、CUCD イン テグ レー ショ ン な ど 

弊社 は Swagger バー ジョ ン 2.0 を サポ ー ト し て お り 、DevOps チー ム に よる REST API 評価 の 円 滑 化 を 可 
能 に し 、 モ バイ ル ア プ リケーション の バッ クエ ンド お よび TIoT (Internet of Things: モノ の イン ター ネッ ト ) 
サー ビス の セキ ュ リ ティ 状態 を より 高速 に 可視 化 で きる よう に し ます 。 さ ら に 、Jenkins 向け の 新しい ネイ 
ティ ブ な プラ グイ ン に より 、 一 般 的 な CUCD (Continuous Integration/Continuous Delivery: 継続 的 イン テ 
グレ ーション / 継続 的 デリ バリ ) ツー ル を 使用 する チー ム に Web アプ リケーション の 脆弱 性 に 関す る 自動 
スキ ャ ン を 提供 し ます 。 同 時 に カス タマ は 、Web アプ リケーション で 複雑 な 認証 お よび ビジ ネス ワー ク フ 
ロー を 移動 する スク リプ ト を 人 科 単 に 検査 する た め の 、Google Chrome ブラ ウザ の 無償 の 拡張 機能 で ある 
Qualys Browser Recorder を 新た に 利用 で きる よう に な り ま し た 。 


- Swagger ベー ス の REST (Representational State Transfer) API の スキ ャ ン - SOAP (Simple Object Access 
Protocol) Web サー ビス の スキ ャ ン に 加え 、Qualys WAS は Swagger 仕様 を 使用 し て REST API を テス ト 
し ます 。 ユー ザ は 、 ス キャ ン サ ービス が Swagger バー ジョ ン 2.0 ファ イル (JSON 形式 ) を 認識 で きる よう 
に する 必要 が ある だ け で 、 API の 一 般 的 な アプ リケーション の セキ ュ リ ティ に 関す る 欠陥 に つい て は 自動 的 
に デス ト さ れ ま す 。 


- Postman サポ ー ト に よる API スキ ャ ン の 拡張 - Postman は 、 REST API の 機能 テス ト に 広く 使用 され て い 
る ツー ル で す 。Postman コレ ンク ショ ン は 、 関 連 す る リク エス ト (API エン ド ポ イン ト ) を まとめ て 他 の ユー 
ザ と 共有 する た め に 、 ツ ー ル か ら エ クス ポー ト で きる ファ イル で す 。 コ レク ショ ン は JSON 形式 で エク ス 
ボ ポート さ れ ま す 。Qualys WAS で の Postman コレ クシ ョ ン の サポ ー ト が リリ ー ス され た こと に より 、 ユ ー 
XO API で Postman コレ クシ ョ ン を 使用 し て API スキ ャ ン を 設定 する と いう 選択 肢 が ユー ザ に 提供 され 
る こと に な り ま す 。 


- Jenkins プラ グイ ン - Qualys WAS Jenkins プラ グイ ン は 、DevOps チー ム が アプ リケーション の 脆弱 性 ス 
キャ ン を 既存 の CICD プロ セス の 中 に 構築 で きる よう に し ます 。 こ の よう に スキ ャ ン を 統合 する こと に 
よっ て 、 ア プリ ケー ショ ン の セキ ュ リ ティ テス ト は SDLC の 早期 の 段階 で 実施 され て セキ ュ リ ティ 上 の 欠 
陥 を 検出 し て 除去 する た め 、 後 か ら 実 施す る より も 改善 に か か る コス ト が 大 幅 に 削減 され ます 。 こ こ か ら プ 
タグ イン を ダウ ジロ ー ド し で くだ さい 。 


- Qualys Browser Recorder — この 新しい Chrome 拡張 機能 に より 、 ユ ー ザ は Web プラ ウザ の アク ティ ビ 
ティ を 記録 し て 、 繰り返し 実行 可能 で 自動 化 さ れ た テス ト を 実施 する スク リプ ト を 保存 で きま す 。 ス クリ プ 
ト は Qualys WAS で 再生 さき れる た め 、 ス キャ ン エ ンジ ン は 複雑 な 認証 お よび ビジ ネス ワー ク フ ロ ー で 正しく 
移動 する こと が 可能 で す 。Qualys Browser Recorder 拡張 機能 は 無償 で 提供 され 、(Qualys の カス タマ に 限 
ら ず ) 誰 で も Chrome ウェ ブス ト ア か ら 利 用 で きま す 。 


は じ め に 


Qualys WAS は 、 非 常に パワ フル な Web アプ リケーション スキ ャ ナ で す 。 


操作 手順 


ログ イン し て 、WAS を 選択 し ます 。 
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Active Modules (12) 


Log Manager 
Collect logs from your hosts and analyze them. 


z 


AssetView 
Asset Management, Tagging, and Search 
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Cloud Agent 


Stay updated with network security by deploying 
agents on your hosts. 


A 
D> 


Vulnerability Management 
Automated Host Security Assessment and Reporting 


Continuous Monitoring 
Set up monitoring and alerting of new security risks 


Exploitation Service 

Verify and get proof of the presence of your 
vulnerabilities 

Policy Compliance 

Define, Audit and Document IT Security Compliance 


Web Application Scanning 


Automated Web Application Security Assessment and 
Reporting 


Web Application Firewall 
WA Detect attacks and protect your web applications. 


Malware Detection 
Scan and Monitor Your Sites for Malware Infections 


Malware Protection Services 
Monitor your traffic and identify any malicious activity 


File Integrity Monitoring 
Monitor changes on file systems 


2t 
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Available Trials (2) 


ThreatPROTECT 
Add threat intelligence feed to your existing AssefView 


Security Assessment Questionnaire 


Automate risk and compliance through questionnaire 
campaigns 


(の 
E 
aa 


Utilities 
Administration 


は じ め に 
操作 手順 


は じ め に 
設定 の 開始 


スキ ャ ン を 行う Web アプ リケーション を 設定 する と ころ か ら 操 作 を 開始 し ます 。 ま ず 、「Web アプ リ ケ ー 
ショ ン 追 加 」 を クリ ッ ク し ます 。 


Web Application Scanning Y ヘル プ v Tarou Qualys "v ログ アウ ト 


人 ダッ シュ ボー ド Web アプリケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


^ > e 
ダッ シュ ボー ド [msnen m+s + me マル ウェ ア 
0 


Wed 13 Nov 2013 0 0 0 0 件 の 松中 Web ア プリ ケー ショ ン 信 加 
0 件 Web ア プリ ケー ショ ンス キャ ン 済 
0 マル ウェ ア モニ タリ ング あり 


カタ ログ 


現在 、Web アプ リケーション が あり ませ ん 。 195 
Web アプ リケーション を 追加 し て くだ さい 。 xi 
Web ア プリ ケー ショ ン 追 加 2 RM ie Be 


設定 の 開始 
「 空 白 」 を 選択 する と 、Web アセ ッ ト を 新規 で 作成 する こと が で きま す 。 


サブ スク リプ ショ ン に 既存 の Web アセ ッ ト が ある 場合 は 、WAF アプ リケーション 用 に 定義 し て いる 可能 性 
が あり ます 。 そ の よう な 場合 は 、「 既 存 の アセ ッ ト 」 を 選択 する こと で 、 時 間 を 短縮 で きま す 。 名 前 、URL、 
タグ な どの 設定 の 入力 は 不要 で す 。 


Web アプ リケーション の 作成 x 


Web アプ リケーション の スタ ー ト ボイン ト を 選択 し ます 。 


は じ め に 
Web アプ リケーション 設定 の 追加 


Web アプ リケーション 設定 の 追加 


新規 の Web アプ リケーション を 追加 する 場合 、Web アプ リケーション 名 や URL は 必須 に な り ま す 。 既存 
の アセ ッ ト を 追加 する 場合 、 こ れ ら の デー タ は 入力 済み で す 。 


外部 サイ ト の マル ウェ アス キャ ン を Web アプ リケーション 作成 


TT H 合 エー 1 
K 2 ae e i A E n y — MÀ スキ ャ ン す る アセ ッ ト の 情報 を 指定 
: こと で 、 マ 
ie k - Es ME í E Q eos v 78 Oum] 
アス キャ ン が 毎日 自動 で 実行 され ま A ees 
名 前 
す 。 Atem My Web Application 
ヒン ト 表 示 - タイ トル バー の ヒン ト xw MOS 
NE e "m 重複 リン ク Web アプリ ケー ショ ン の URL* ・ 
表示 を 有効 に する と 、 フ ィ ー ル ド に » リピ ーー テー 
2 =j ZE スキ ャ ン 対 象 と し て 指定 し た すべ て の Web アプ リケーション を スキ ャ ン す る パー ミッ シ 
マウ スポ イン タ を 合わ せ た 際 に 各 設 i ga 
定 の ヘル プ が 表示 され ます 。 a5 NEP 
アド バン ス オ xx 
REA Username 
ュ メ ント 
25 
ETT EIE Web アゴ リケーション に 通用 する タグ を 選択 ER ient | 
キャ ン セ ル p 


追加 し た Web 7 アプ リケーション は 、「Web アプ リケーション 」 タ ブ に 表示 され 、 ア プリ ケー ショ ン の 設定 
を 編集 し た り 、 ス キャ ン を 開始 する こと が で きま す 。 


Web Application Scanning v É 


ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


EST UP EEEPA MEM web アプ リケーション BEES カタ ログ マッ プ 


新規 Web アプ リケーション | | イン ボー ト | | 新規 スキ ャ ン w || 新規 スケ ジュ ー ル w 


C3 en ペー ジ 数 用 性 数 EAE 。 MDS 重大 度 。 スキ ャ ン 済 
a 結果 を フィ ル タ Documentation 0 9 N/A 06 Aug 2018 06 Aug 2018 
http-//www.example.com 

55 uM — 

F] Web Application - Demo - - - N/A - 04 Dec 2017 

E http-//10.113.196.87. 

[E] Demo Web Application - 4 N/A - 04 Aug 2017 

スキ ャ ン 情 報 htip:/10.10.20.10 


認証 を 使用 する 理由 : 認証 を 使用 する と 、 巡 回 プロ セス 時 に Web アプ リケーション の すべ て の 機能 に アク 
セス する こと が で きま す 。 そ の た め 、Web アプ リケーション を より 詳細 に 評価 する こと が 可能 で す 。 Web 
アプ リケーション の 中 に は 、 そ の 機能 の 主要 な 部 分 に アク セス する た め に 認証 が 必要 な も の が あり ます 。 認 
証 ス キャ ン は ログ イン ペー ジ の よう な HTML フォ ー ム 認証 、 お よび サー バ ベ ー ス の 認証 (HTTP Basic, 
Digest、NTLM、 ま た は SSL クラ イア ント 証明 書 ) に 対し て 設定 する こと が で きま す 。「 認 証 」 タ ブ で 「 新 
規 レ コー ド 」 を 選択 し 、 ア クセ ス に 必要 な 資格 情報 を 設定 し ます 。 必 要 に 応じ て 、 i re 
組み 合わ せる こと が で きま す 。 巡 回 が 完了 する まで 認証 スキ ャ ン が 認証 され た 状態 を 維持 で きる よう (! 
セッ ショ ン 状 態 が 監視 され ます 。 


スキ ャ ン と その 潜在 的 な 影響 に 関す る 警告 : Web アプ リケーション スキ ャ ン で は 、 テ スト デー タ を 伴う 
フォ ー ム が 送信 され ます 。 フ ォ ー ム 送信 の 実行 が 望ま し く な い 場 合 は 、 ブ プラ ッ ク リ スト や POST デー タ 送 信 
の ブラ ッ ク リ スト の 設定 を 追加 する か 、 オ プシ ョ ンプ ロフ ァイル で GET メソ ッ ド の み を 選択 し て くだ さい 。 
この 設定 を 使用 する 場合 は 、 Web アプ リケーション の 特定 の 領域 に 対す る テス ト が 含ま れず 、 それ ら の 領域 
に 存在 する 脆弱 性 が 検出 され な い 場 合 が ある こと に 留意 し て くだ さい 。 


は じ め に 
最初 の スキ ャ ン (検出 スキ ャ ン の 推奨 ) 


最初 の スキ ャ ン (検出 スキ ャ ン の 推奨 ) 


検出 スキ ャ ン で は 、 脆 弱 性 テス ト を 実行 せ ず に 、Web アプ リケーション の 情報 を 検出 で きま す 。 こ れ は 、 ス 
キャ ン を 実行 する 場所 と 、 脆 弱 性 スキ ャ ン で ブラ ッ ク リ スト に 含め る べき URI が ある か どう か を 把握 する 
た め に 便利 で す 。 

「Web アプ リケーション 」 (上 部 Web Application Scanning v 

メニ ュー) を 選択 し 、「 新 規 ス ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 
キャ ン 」 一 「 検 出 ス キャ ン 」 を 


選択 し ます 。 E] web A EPA MESAI ERE 
TESTEM | web アプ リケーション | | イン ポー ト | [matry y | | 新 工 スケ ジュ ー ル 
Cc 検出 スキ ャ ン 
名 前 EREZET 
スキ ャ ン 開 始 ウ ィ ザ ー ド の 手順 新しい WAS 検出 スキ ャ ン を 開始 ヒン ト 表 示 : 有効 | 無 次 ヘル プ を 起動 X 
に 従っ て 設定 し ます 。 _ 
ステ ッ プ 113 スキ ャ ン 名 を 指定 し て 評価 対象 を 設定 
スキ ャ ン す る Web アプ リ ケ ー [1] EE EDEN » OBEZE 
ショ ン を 指定 Lis スキ ヤ ン 設 定 Do P スキ ャ ン 名 * My Discovery Scan 
選 す (* Hub 
を 選択 GE ( は 必 須 ) o 3 設定 内 容 を 確認 ASSUME 
スキ ャ ン を 開始 する 準備 が で き セキ ュ リティ リス ク ま を スキャン する Web アプ リケーション を 指定 し て くだ さい 。 


* 名 前 タグ 


た ら 、「 続 行 」 を クリ ッ ク し 、 "e 


eb アプ リケーション 名 を 1 つ 以 上 選択 し て くだ さい 。 リス ト に は 、 ア クセ ス で きる すべ て の Web アプ リケーション が 表示 され ミ 
設定 を 確認 し た 後 、「 完 了 」 を 
クリ ッ ク し ます 。 Web アプリ ケー ション" Web アプ リケーション を 居所 t aix) sxta 


Demo Web Application 削除 | 表示 


オプ ショ ンプ ロフ ァイル に つい て 

オプ ショ ンプ ロフ ァイル は 、 ス キャ ン 設 定 オ プシ ョ ン を セッ ト に し た も の で す 。 最初 は 「Initial WAS 
Options」 を 使用 する こと を お 勧め し ます 。 プロ ファ イル の オプ ショ ン を 編集 する こと に より 、 巡回 や スキ ャ 
ン パ ラメ ー タ を カス タマ イズ で きま す 。 


認証 の 詳細 の 提供 に つい て 
この Web アプ リケーション の 機能 へ の アク セス に 論証 が 必要 な 場合 は 、 必 ず 、 認 証 レコ ー ド を 選択 し て く 
だ さい 。 


Scanner Appliance に つい て 

Qualys の セキ ュ リ ティ サー ビス で は 、 ネ ットワーク ペリ ミタ ー 上 で の 外部 スキ ャ ン 用 に クラ ウド スキ ャ ナ 
を 利用 で きま す 。 内 部 スキ ャ ン の 場合 、Scanner Appliance (物理 また は 仮想 ) を 設定 する 必要 が あり ます 。 
「VM/VMDR」 つ ー「Scans」 つ 「Appliances」 を 選択 し 、「New」 メ ニュ ー か ら オ プシ ョ ン を 選択 し て 、 表 示 
され た 手順 に 従い ます (Express Lite の 場合 、 ア カウ ント は 、 外 部 スキ ャ ン 、 内 部 スキ ャ ン 、 ま た は その 両 
方 で 有効 に な り ま す )。 


スキ ャ ン ビ ュー を 確認 する 
に は 、 終 了 し た スキ ャ ン を 
ダブ ルク リッ ク し ます 。 


スキ ャ ン ビ ュー 


は じ め に 
最初 の スキ ャ ン (検出 スキ ャ ン の 推奨 ) 


Qe ETTTM ジュ ー ル オプ ショ ンプ ロフ ァイル デフォ ルト 

も と うと ro 0 w  [maee» w KEZ Tøv 
Cc 品名 前 状態 リン ク 数 EAR スキ ャ ン H v 

a 結果 を フィ ル タ EF KG My Discovery Scan Y 0 = 30 Jun 2017 m 


hitp://10.10.26.238:80/ 
ウイ ッ カ フィル な 


「 概 要 」 に は 、 ス キャ ン 結 果 の 概要 が aa 


表示 され ます 。 


表示 モー ド スキ ャ ン 結 果 の 概要 


E EM [e 1 | Web Application Vulnerability Scan - 2019-02-25 Run #1 
スキ ャ ン レ ポー ト 全 体 を 表示 する に 


= - m webapptodel 
は 、「 レ ポー ト を 表示 」 ボ タン を ク € s7 
BERF- な し 

スキ ャ ン 済 アプ リ ケ ー シ M 


リッ ク し ます 。 


スキ ャ ン レ ポー ト 全 体 


各 QID は 、 ス キャ ン が 実 
行 さ れ て 情報 が 収集 され 
た セキ ュ リ ティ チェ ッ ク 
で す 。 行 を クリ ッ ク す る 
と 、 詳 細 が 表示 され ます 。 


「QID 150009 クロ ー ル さ 
れ た リン ク (Links 
Crawled) 」 と 「QID 
150021 スキ ャ ン 診 断 
(Scan Diagnostics)」 を 
チェ ッ ク し 、 ス キャ ン に 
関す る 重要 な デー タ を 確 
認 し て くだ さい 。 


04 Apr 2019 2:24PM GMT+0900 
07:19:40 


評価 時 間 os 
05:15:36 Ubuntu ... 
巡回 済み リン ク HETARA Ajax リン ク 巡回 済み リク エス ト 
300 0 0 


タイ ム ア ウ ト 予期 し な い エ ラー 平均 応答 時 間 
1 0.80 秒 


レポ ー ト を 表示 


スキ ャ ン レ ポー ト x 


Missing Function Level Access Control 
Cross-Site Request Forgery (CSRF) 

Using Components with Known Vulnerabilities 
Unvalidated Redirects and Forwards 


My Discovery Scan 06 Feb 2017 0 0 0 0 q 


て 収集 情報 7 
v 収集 情報 7 
a 150101 収集 され れ た サー ド パ ー テ ィ の Cookie (Third-party Cookies Collected) 
E" 150028 収集 され た Cookie (Cookies Collected) 


sa 150021 スキ ャ ン 診 断 (Scan Diagnostics) 


w 150010 外部 リン ク の 発見 (External Links Discovered) 


E 150009 クロ ー ル され た リン ク (Links Crawled) 


e 45038 Host Scan Time (Host Scan Time) 
| 6 DNS ホホ スト 名 (DNS Host Name) 
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は じ め に 
脆弱 性 スキ ャ ン の 実行 


「QID 150009 クロ ー ル され 
た リン ク (Links Crawled) | 


v * 
の 結果 と し て 、 巡 回 され た 
4 E 検出 結果 番号 691836* Web アプ リケーション Demo Web Application 
リン ク の リス ト が 作成 され グル ー プ BERE mu xum 
< CWE - 
ds d, OWASP - 検出 日 06 Feb 2017 10:15AM GMT+0900 
WASC - 
詳細 表示 
結果 
区 以前 の スキ ャ ン か ら の 変更 点 を 強調 表示 する 
新規 - この リン グ よ 、 以 前 の スキ ャ ン で は 見 つか っ て いま せん als 
— RE- この 結果 は 以前 の スキ ャ ン で 見 つか っ て いま す が 、 値 が 具 な り ま す exce: 


ps 削除 - この リン グ は 見 つか り ま せん で し た が 、 以前 の スキ ャ ン で は 報告 され て いま す 


Re (seconds): 541.00 
Number of links: 2 


(This E ES form requests and links re-requested during authentication.) 


http://10.11.72.37/ 
http RU CUENINCEDEREEERHEGVRGESCNY 
ht! .11. 


EUR EE ERR _PHP SELF$20in 
3E19183C/b$3E&3Cbr&20/83E$0A 


脆弱 性 スキ ャ ン の 実行 


脆弱 性 スキ ャ ン で は 、 脆 弱 性 チェ ッ ク と 機 宗 コ ン テ ン ツチ ェ ッ ク が 実行 され 、Web アプ リケーション の セ 
キュ リティ 状態 が 示さ れ ま す 。 


基本 知識 
テス ト さ れる 脆弱 性 チェ ッ ク に つい て は 、 ス キャ ン を 特定 の 脆弱 性 (確認 済み 、 潜 在 的 、 収 集 情 報 ) に 制限 


する オプ ショ ンプ ロフ ァイル を 設定 し な い 限 り 、KnowledgeBase の すべ て の 脆弱 性 チェ ッ ク (QID) に つ 
いて スキ ャ ン が 実行 され ます 。KnowledgeBase は 、 新 し い セ キュ リティ 情報 が 発表 され る た びに 更新 され 
ます 。 


Web Application Scanning マン 


上 部 の メニ ュー で ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowiedgeBase 
「KnowledgeBase」 を 
クリ ッ ク し ます 。 


KnowledgeBase KnowledgeBase 


C 
C3 ao - 
a 結果 を フィ ル タ 390169 Oracle VM Server for x86 の Unbreakable Enterprise Kernel 用 セキ ュ リ ティ アッ プ デ ー ト (OVMSA-2019. 


390168 Oracle VM Server for x86 の Unbreakable Enterprise Kernel 用 セキ ュ リ ティ アッ プ デ ー ト (OVMSA-2019. 


「 重 大 度 」 に つい て - それ ぞ れ の QID に は サー ビス に よっ て 重大 度 が 割り 当て られ ます 。 確認 済 み の 脆弱 性 
は 赤色 、 浴 在 的 な 脆弱 性 は 黄色 、 収 集 情 報 は 青色 で 表示 され ます 。 
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は じ め に 
脆弱 性 スキ ャ ン の 実行 


スキ ャ ン の 開始 


上 部 メニ ュー の 「 ス キャ ン 」 Web Application Scanning v 
を 選択 し 、「 新 規 ス キャ ン 」 


^ ダッ シュ ボー ド We アプ リケーション スキ ャ ン 検 
つつ 「 脆 弱 性 スキ ャ ン 」 AE 


択 し ます 。 (yNPCIAA ME スキ ャ ン リス ト | MESSIS 
=… ーー ーー 
C 検出 スキ ャ ン 
に NN Maex キ ャ > | 
スキ ャ ン 開 始 ウ ィ ザ ー ド の 手 新しい WAS 脱 弱 性 スキ ャ ン を 開始 示 : 有効 | 無 次 ヘル プ を 起動 X 
順に 従っ て 設定 し ます 。 
men スキ ャ ン 名 を 指定 し て 評価 対象 を 設定 
脆弱 性 の スキ ャ ン を 実行 する Q 5 y OBETE 
Web アプ リ ケ か ケー ジョ ン を 指定 2 m スキ ャ ン 名 * My Vulnerability Scan 
し 、 ス キャ ン 設 定 を 選択 し ま に 
設定 内 容 を 確認 Aevi 
pn セキ ュ リティ リス ク を スキ ャ ン す る Web アプ リケーション を 指定 し て くだ さい 。 
る 名前 EJ 
A キ x d ン を 開始 する 準備 が で Web アプ リケーション 名 を 1 つ 以 上 選択 し て くだ さい 。 ! 
きた ら 、「 続 行 」 を クリ ッ ク 3 
し 、 設 定 を 確認 し た 後 、「 完 Web ア カケ ーション * [Wehr Sv] secum 
T] を クリ ッ ク し ま す 。 Demo Web Application E 


スキ ャ ン の 信行 状況 の 確認 
「 状 態 」 列 に は スキ ャ ン の © zten ETTTM 
状態 が 表示 され ます (この 


例 で は 「 実 行 中 」)。 ZEE) e "E 


C o z 状態 ” リン ク 数 重大 
詳細 を 表示 する に は 、 V] My Vuherabiity Scan E xm = 
スキ ャ ン の 行 を ダブ ル クイ ッ ク カク フィルタ ür à 
Z y ッ ク じ ま ず 。 マイ スキ ャ ン 
r "MER e 

スキ ャ ン の 進行 状況 」 バ スキ ャ ン の 進行 状況 


が 表示 され 、 ス キャ ン が 終 
子 する まで の 時 間 の 目安 が "n 
わか り ま す 。 


収集 済み リン ク 人 回 済み リン ク 実行 済み 要求 平均 応答 時 間 
1 0 3 0.176420 秒 
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は じ め に 
スキ ャ ン 結 果 


スキ ャ ン 結 果 


終了 し た スキ ャ ン を 選択 する と 、 ス キャ ン の 
プレ ビュ ー が リス ト の 下 に 表示 され ます 。 


キャ ン リ スト 


[sizes v L [1-22 eur 
名 前 状態 U EAR スキ ャ ン 日 7 
a Web ア プリ ケー ショ ン フ 検出 スキ ャ ン - 2017-07-13 ar 1 ー 13 Jul 2017 円 
http//10.10.21 or 
V] (a Web ア フリ ケー ショ ン RIE RFP - 2017-07-12 回 RT á 12Jul2017 m 
http://10.10.26.238:80/ 
EA 


アウ ショ ンマ | lxx *—7^ 7v 4—-F 
全体 
Web アブ リケーション 脆弱 性 スキ ャ ン - 2017-07-12 


Web アプ リケーション : Demo Web Application 
開始 し た スキ ャ ッ by | 12 Jul 2017 6:52PM GMT+0900 | $t Y (00:07:44) 
モー ド : Mtv Weste BXR.x EAE -p 重度 - 低 


認証 : な し 120 40 11 69 | 


スキ ャ ナ : A 


| Web アブ リケーション の スナ ッ プ ショ ッ ト 


スキ ャ ン ビ ュー 


スキ ャ ン ビ ュー を 表示 する に WAS 脆弱 性 スキ ャ ン 表示 
は 、 ス キャ ン の 上 に マウ スポ 


表示 モー ド スキ ャ ン 結 果 の 概要 
イン タ を 置い て 、「 ク イッ ク z E 
アク ミ ス か ら C Web Application Vulnerability Scan - 2019-02-25 Run #1 
ショ ン 」 ニュ ー か CRT 
E 

「 表 示 」 を 選択 し ます 。 EA sm sT 

4 Stew. JH3 AME 
BERE に は 、 BT VRGR アク ショ ン ロ グ [i 04 Apr 2019 2:24PM GMT+0900 
の 概要 が 表示 され ます 。 期間 07:19:40 

USES THESE 

スキ ャ ン レ ポー ト 全 体 を 表示 02:03:51 05:15:36 Ubuntu ... 
する に は 、「 レ ポー ト を 表示 」 eet um d Fio リック TR 


SA AT as 
ボタ ン を クリ ッ ク し ます 。 実行 済み 要求 タイ ム ア ウト 予期 し な い エ ラー 平均 応答 時 間 
91815 0 1 0.80 秒 


レポ ー ト を 表示 
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は じ め に 
スキ ャ ン 結 果 


スキ ャ ン レ ポー ト 全 体 
脆弱 性 は 、 グ ルー プ ご と に 分 類 さ れ て いま す 。 


スキ ャ ン レ ポー ト x 


v Baat (5) 
マ Information Disclosure (5) 
m 150085 Slow HTTP POST の 脆弱 性 (Slow HTTP POST vulnerability) (1) 
https:/10.11.72.37] (パラ メー タ : な し ) 


vE 150123 Cookie に [HTTPOnly] 属性 が 含ま れい (Cookie Does Not Contain The [HTTPOnly] Attribute) (2) 
hmps710.1172377 fo で な し ee 脆弱 性 の 詳細 を 表示 する に は 、 
https://10.11.72.37/ ( バ 73:5) ここ を クリ ッ ク 


EN 150122 Cookie に [secure] 属性 が 含ま れ な い (Cookie Does Not Contain The "secure" Attribute) (2) 


https//10.11.72.37/ ( バ E 
https://10.11.72.37/ (/* 脆弱 性 の 細 
v 収集 情報 0) 2 ] i : E 
um 150123 Cookie に [HTTPOnly] 属性 が 含ま れ な い (Cookie Does Not Contain The [HTTPOnly] バッチ を イン スト ー ル 無視 再 テス ト 
マ 収集 情報 T) Attribute) 
hi 1110.1 7 
150101 pga PREhNps710.117237 


150028 収集 4 窒 出 結果 番号 784136 Web アプ リケーション Demo Web Application 


150001 スキ ャ "i798 cR z= zam 
グル ー プ Information Disclosure 
150010 外部 | cw - pel oye 20 Aug 2014 1:37PM GMT+0900 
150009 クロ ー OWASP A2 Broken Authentication and Session Management 前 回 の 検出 20 Aug 2014 1:37PM GMT+0900 
WASC - 前 回 の テス ト 20 Aug 2014 1:37PM GMT+0900 
45038 ホス ト 9 qe ola 1BERAm 


CVSS 33k d 0 CVSS 現状 価 0 
6 DNS ホス ト 3 
CE m 
スキ ャ ン の 詳細 
) Web アブ リケーション の 詳 | 検出 情報 


» 重大 度 パラ メー タ : 情報 の 検出 こ パ ラメ ー 列 必要 あり ませ ん 。 


ペイ ロー ド : N/A 
リク エス ト : GET http://204.227.183.120/ 


COULVZEZUvZY EE, ETRLIECTD—FCIBEVIEDEIEEESMITUEEY. COUMTEDUsDUCÓÉURUTEUR A dut NET Us. BERELT TERED 
SPILE (REEF. Cookie) $533 3:0», SERERE RUN TERA TAEL RORO EÓ CH. 


dues 


CGI ニニ 
v 脆 絆 性 5 

> SQL Injection (1) 

b Path Disclosure (1) 

b Information Disclosure (7) 


> 収集 情報 (8) 


fii 


b スキ ャ ン の 詳細 
> Web アブ リケーション の 詳細 : Demo Web Application 
て 重大 度 
v 確認 済み 脆 可 性 
Vulnerabilities (QIDs) are design flaws, programming errors, or mis-configurations that make your web application and web application platform susceptible to malicious attacks. Depending on the level of the security risk, 
the successful exploitation of a vulnerability can vary from the disclosure of information to a complete compromise of the web application and/or the web application platform. Even If the web application Isn't fully 
compromised, an exploited vulnerability could still lead to the web application being used to launch attacks against users of the site. 


重度 ルベル 説明 
L] Minimal Basic information disclosure (e.g. web server type, programming language) might enable intruders to discover other vulnerabilies, but leck of this information does not make the vulnerability harder to find. 
Em P Intruders may be able to collect sensitive information about the application platform, such as the precise version of software used. With this information, intruders can easily explot known vulnerabilities. 
specife to software versions. Other types of sensitive information might disclose a few Ines of source code or hidden directories. 
NER fix Vulnerabilties at this level typically disclose security-related information that coul resu in misuse or an exploit Examples include source code disclosure or transmitting authentication credentials over non- 
encrypted channels. 
Lini] Critical Intruders can exploit the vulnerabiity to gain highly sensitive content or affect other users of the web application. Examples include certain types of cross-sRe scripting and SQL injection attacks. 
NENNEN sod Intruders can explot the vulnerabity to compromise the web appiiation's data store, obtain information from other users’ accounts, or obtain command execution on a host in the web application's. 
id architecture. 
y Ere yas tt 
b WEYoTDy 
» 収集 情報 


は じ め に 
サイ トマ ッ プ の 表示 


サイ トマ ッ プ の 表示 


Web アプ リケーション の サイ トマ ッ プ で は 、 ス キャ ン さ れ た すべ て の ペー ジ / リ ンク の リス ト を 簡単 に 取得 
し 、 巡 回 済み リン ク 、 検 出さ れ た 脆弱 性 と 機密 コン テン ツ を 表示 する こと が で きま す (「Web アプ リ ケ ー シ ョ 
ン 」 に 移動 し 、 目 的 の Web アプ リケーション を 選択 し 、「 ク イッ クア クシ ョ ン 」 メニュー から 「 サ イト マッ 
プ を 表示 」 を 選択 し ます )。 


Web Application Scanning Y 


ダッ シュ ボー ド Web アプ リケーション スキャン 検出 レポ ボート 設定 KnowledgeBase 


IESU EPA wo アプ リケーション BE カタ ログ マップ 


| | 新規 Web アプ リケーション | | イン ボート | | 新規 スキ ャ ン v | | 新 現 ス ケシ ジュール ow 


cC 名 前 ペー ジ 数 脆弱 性 数 EAS MDS 重大 度 Z 
a 結果 を フィ ル タ .[V] Documentation NA 
http:/www.example.com Em | 
タグ : ーー 表示 
Web Application - Demo ー N/A 
x: http://10.113.196.87/ zz 
Demo Web Application | サイ トマ ッ プ を 表示 | NA 
スキ ャ ン 情 報 http-//10.10.20.10 レポ ー ト を 表示 


次 の サン プル は 、 合 計 で 271 ペー ジ が 巡回 され 、306 件 の 脆弱 性 と 8 件 の 機密 コン テン ツ が 検出 され た Web 
アプ リケーション の サイ トマ ッ プ の 例 で す 。 


サイ トマ ッ プ : Webapp Subuser A x 
以下 の フィ ル タ を 使用 し て 、 この アプ リケーション サイ トマ ッ プ の リス トビ ュー を 変更 し ます 。 
ページ ビ ュー フィ ル タ 巡回 済み 271 回 拒否 0 E 外部 34 E t 306 Hé 機 密 コ ン テ ン ツ 8 
表示 し て いる リン ク : 
Webapp Subuser 
ン 1-20729 | ょ | © $$ v 
リン ク ^ リン ク 情 報 子 の 情報 
Web アブ リケーション の 情報 
El 20:10:02 1 
[7] BA 10.10.10.2:443 2 
E EJ 10.10.10.2:777 € 
[7] RA 10.10.10.2:8080 1 
[7] Ell 10.10.10.5:1443 1 
o E 
10.10.10.8 評価 の 詳細 
M| BE 10.10.26.238 e © EE 
脆弱 性 の 合計 件 数 
RA 10.10.26.238:443 onn o an 306 
m ; i Wiss Los 
E El 127.001 E2 し ベル 4 
— E W 54 し ベル 3 
guitar.funkytow n.vuln.qa.qualys .com [5] 132 レベ ル 2 
Em lam p2.vuln.qa.qualys.com E m 64 レベ ルイ 1 
BE newcastletyne.facebook.com 1 
Ell readers-of-the-lost-art.org.uk 3 
Ta readers-of-the-lost-art.org.uk:1111 E 
Ell rcaders-otthe-lost-art.org.uk:443 1 
O violin.funkytown.vuln.qa.qualys.com E 
C www.amazon.co.uk E - E 34 
0 | 
Wl www.bryan-talbot.com E 1 人 回 済み 拒否 外部 


15 


は じ め に 
サイ トマ ッ プ の 表示 


新しい ブラ ウザ ウィ ンド ウ で の サイ トマ ッ プ の 表示 
右上 隅 に ある アイ コン を クリ ッ ク す る と 、 サ イト マッ プ が 新しい ブラ ウザ ウィ ンド ウ で 表示 され ます 。 


サイ トマ ッ プ -: Webapp Subuser 


以下 の フィ ル タ を 使用 し て 、 この アゴ リケーション サイ トマ ッ プ の リス トピ ュー を 変更 し ます 。 
ペー ジ ビ ュー フィ ル タ 罰 巡回 済み 31 @ 拒 否 0 Ð 外部 2 還 受 85 性 23 較 機 再 コ テン ツ 0 


サイ トマ ッ プ の フィ ル タ 


ベ ページ を フィ ル タ リ ング する 項目 の いずれ か を クリ ッ ク し ます 。 例 えば 、 最 新 の 脆弱 性 で フィ ル タ を 設定 す 
る 場合 は 「 脆 弱 性 」 を クリ ッ ク し ます 。 


サイ トマ ッ プ : Webapp Subuser A x 


以下 の フィ ル タ を 使用 し て 、 この アプ リケーション サイ トマ ッ プ の リス トビ ュー を 変更 し ます 。 
ベー ジ ビ ピュ ー フ ィ ル タ | 話 巡 回 済み 27 Beso E 外部 32 CINE) 機密 コン テン ッ 1 


ネス ト さ れ た リン ク の 表示 (ドリ ル ダ ウ ン ) 
この 機能 を 使用 し て 、 ア プリ ケー ショ ン の さま ざま な 部 分 に 関す る セキ ュ リ ティ を 確認 し ます 。 子 リ ンク を 


表示 する に は 、 親 フォ ル ダ を ダブ ルク リッ ク し ます 。 


ロリ ンク ^ リン ク 情 報 子 の 情報 
E Ell 410.10.26.238 an 回 WETA T E, 
m] B[vjo1025230:43 回 回 
Naan. 
El boq 回 
B ?account-profile &ID-1 回 
l| B ?account-savings &ID-1 tg 
7] Bl >error-Unknown%20User: $ RAM dio 
[7] Bl >error-Unknown%20User:%20nogood 回 A E ze 
重大 度 1: 0 


Web アプ リケーション リン ク に 対す る アク ショ ン の 実行 

リン ク か ら 新 し い Web アプ リケーション を 作成 し た り 、 ブ ラッ クリ スト や ホワ イト リス ト に リン ク を 追加 
する こと が で きま す 。 行 を 選択 し 、 右 に ある 詳細 パネ ル の リン ク を クリ ッ ク す る と 、 ブ ラウ ザ で リン ク を 表 
示す る こと が で きま す 。 


リン ク ^ リン ク 情 報 子 の 情報 


フォ ル ダ の 情報 
V] 10.10.26.238 T 247072737 uU に 
Web アプ リケーション を 作成 Ba フォ ル ダ : https:/10.10.26.238/ 
BA 10.10.26.238:443 hi LE Gu 
M CR Mesa: 3 
El 503021200 ホワ トリ スト に 追加 機 空 コ ン テ ン ツ : 0 
E Bil 127.001 


16 


スキ ャ ン に スケ ジュ ー ル を 設定 し て 自動 的 


簡単 な 操作 で の Web アプ リケーション リン ク の エク スポ ー ト 
有 2 式 で 簡単 に ダウ ン ロ ー ド で きま す 。 


スキ ャ ン 済 み の リ ンク と その 検出 デー タ を 複数 の 


は じ め に 


こ 実 行 す る た め の ヒ ント 


Web アプ リケーション の サイ トマ ッ プ : Demo Web Application 


以下 の フィ ル タ を 使用 し て 、 この アプリケ ーション サイ トマ ッ プ の リス トビ ュー を 変更 し ます 。 


ベ ページ ビ ピュー フィ ル タ — 巡回 済み 10 @ 拒否 0 E 外部 5 E 55:120 BH 機密 コン テン ッ 0 
表示 し て いる リン ク : 
Demo Web Application 

o [peman em elm 


| Web アプ リケーション リン ワウ を ダウンロード 


an ^ vorei XO 
Ell 0.10.26.238:443 1 ソー ト 其 準 , 
amanan > MEN 
[7] Ell 40.11.72.37 o Ho Sse 
" = 1n 


ダウ ン ロ ー ド し た レポ ー ト に は 、 リ ンク ご と に スキ ャ ン 結 果 が 表示 され ます 。 
Data List: Web Application Sitemap 


Alexa Kim 
quays ak1 


12 Jul 2017 


Qualys, Inc Created: 12 Jul 2017 17:15 GMT+0630 
1600 Bridge Parkway 


United States of America 


Number of records: 33 


Link Status # Sensitive Contents # Vulnerabilities Externallinks Crawled links Rejectedlinks Links Sensitive Contents Links Vulnerabilities 
10.10.10.2 - 0 0 1 0 0 0 0 

10.10.10.2:443 - 0 0 2 0 0 0 0 

10.10.10.2:777 EXTERNAL 0 0 0 0 0 0 0 

10.10.10.2:8080 - 0 0 1 0 0 0 0 

10.10.10.3:1443 - 0 0 1 0 0 0 0 

10.10.10.8 EXTERNAL 0 0 0 0 0 0 0 

10.10.26.238 CRAWLED 0 5 0 1 0 0 3 

10.10.26.238:443 3 0 210 8 0 12 


CRAWLED 0 


スキ ャ ン に スケ ジュ ー ル を 設定 し て 自動 的 に 実行 する た め の ヒ ント 


スキ ャ ン を 繰り 返し 実行 する た め に は スケ ジュ ー ル を 設定 する こと を お 勧め し ます 。 スケ ジュ ー ル を 設定 す 


る と 、 組 織 に 都合 の いい 時 間 帯 に 結果 を 定期 的 ( 


「 ス キャ ン 」 つ っ 「 ス ケ ジ ュ ー 
ル 」 を 選択 し 、「 新 規 ス ケ 
ジュ ー ル 」 を 選択 し ます 。 


xr. 88 


Web Application Scanning 


v 


ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 


Q スキ ャ ン 管 理 


lm 


スキ ャ ン リ スト スケ ジュ ー ル 


新規 スケ ジュ ー ル w 
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位 、 月 単位 ) に 取得 で き 


設 


o 


— 


AE 


オプ ショ ンプ ロフ ァイル 


す 。 


KnowledgeBase 


デフ ォ ル 


は じ め に 
ダッ シュ ボー ド を 使用 し た 最新 の セキ ュ リ ティ ステ ー タ ス の 取得 


ダッ シュ ボー ド を 使用 し た 最新 の セキ ュ リ ティ ステ ー タ ス の 取得 
ダッ シュ ボー ド に は 、 セ キュ リティ ステ ー タ ス が 素早 く 表 示さ れ 、 常 に 最新 の スキ ャ ン 結 果 を 得る こと が で 
きま す 。 対話 形式 で 操作 で きる た め 、 項 や リン ク を クリ ッ ク す る だ け で 、 さ ら に 詳細 な 情報 を 確認 で きま す 。 


Web Application Scanning 


ダッ シュ ボー ド Web アプ リ ケ ー シ ョ スキ ャ 検出 "レポー ト 設定 KnowledgeBase 
Q) xem 
ダッ シュ ボー ド à p. 
Fri 05 Apr 2019 ③ Ni eanan Eus EE mmi (Ret) 
i 80 0 13 67 0 fomi = - 


arinn s ACE Ù 25024 ® À 
リケーション 


新しい Web アブ リケーション 


a i a EAR at 

04 Apr 2019 n :» o E 4 を 追加 
m 

94 Apr 209 3 - | - E oss 
02z3^ 
AUI 


最近 行っ た スキ ャ ン FATES 予定 され て いる スキ ャ ン 
スキ ャ > 名 ヤン wm — wm oaa M sakna 
77 t "r E 
Web Appicaton Lr wr Wet Applicaton Vuner. F4 momy mpeeaon 
= 
Web Appicaton Vneraoam Scan w mT 
= 


1) 現在 の 脆弱 性 数 : 重大 度 - 高 (重大 度 4 お よび $) 、 中 (重大 度 3)、 低 (重大 度 1 お よび 2) 

2) マル ウェ ア 検 出 数 (Web アプ リケーション の マル ウェ アモ ニタ リン グ を 有効 に し て いる 場合 

3) 最も 脆弱 な Web アプ リケーション 

4) カタ ログ で 検出 され た Web アプ リケーション (Bxpress Lite ユー ザ の 場合 は 使用 不可 ) 

$) 最新 の スキ ャ ン (ヒン ト - 「 ス キャ ン 日 」 の 上 に マウ スポ イン タ を 合わ せる と 、 そ れ ぞ れ の 日 付 と 時 刻 
カ 

6 

7 


* 表 示さ れ ま す ) 
予定 され て いる スキ ャ ン (スキ ャ ンス ケ ジ ュ ー ル ) 
最新 レポ ー ト へ の 簡単 な アク セス 


カス タム ダッ シュ ボー ド の 簡単 な 作成 と 表示 の 切り 替え 

いつ で も 必要 な と き に 、 対象 分 野 、 特定 の Web アプ リケーション 、 お よび 実働 環境 に 合わ せ て ダッ シュ ボー 
ド を カス タマ イズ する こと が で きま す 。 お 使い の アカ ウン ト で 、 カ スタ ムダ ッシュ ボー ド を デフ ォ ル ト と し 
て 設定 する こと も で きま す 。 


「 ダ ッシュ ボー ド 」 の 上 に マウ スポ イン タ を 置き 、「 変 更 .…」 を クリ ッ ク し ます 。 


ダッ シュ ポー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


Awiudqm-—h:s «—— ここ を クリ ッ ク 


Fri 05 Apr 2019 REHIN més MED £75 
5 件 Web ア プ ケ - ショ ンス キャ > 80 0 13 


18 


は じ め に 
ダッ シュ ボー ド を 使用 し た 最新 の セキ ュ リ ティ ステ ー タ ス の 取得 


タグ を 選択 し て 、 そ れ ぞ れ の ダッ シュ ボー ド に 追加 する Web アプ リケーション を 指定 し ます 。 


新規 ダッ シュ ボー ド を 作成 x 


マイ ダッ シュ ボー ド に 追加 — 


HRL TEHTI Web アプ リケーション を 指定 し て くだ さい 。 ダッ シュ ボー ド に は 、 これ ら の タグ の み を 持つ Web 
d 


ダッ シュ ボー ド 名 * Datacenter NY 


B この ダッ シュ ボー ド を デフ ォ ル ト | こ する rupem 
次 の タグ の いずれ か を 持つ Web アプリ ケー ショ ン が 含ま れ ま す 。 タグ を 追加 


f Datacenter nv x Datacenter 

[ Datacenter Eu 

[| Datacenter Tokyo 
Ü Datacenter Paris 


F Datacenter us 


マイ ダッ シュ ボー ド " 


表示 し た い ダ ッシュ ボー ド を 指定 し て くだ さい 


ダッ シュ ボー ド を 検索 新規 ダッ シュ ボー ド | すべ て 削除 


4 カス タマ イズ し た ダッ シュ ボー ド 使用 可能 


デフ ォ ル ト の ダッ シュ ボー ド (デフ ォ ルド NDS... STET 


すべ て の Web アプ リ ケ ー ジ ショ > ロ 


Datacenter NY デフ ォ ル ト と し て 設定 | 今 す ぐ 表示 | 編集 JRI 
B Business unts 
etssgsed デフ ォ ル ト と し て 設定 | 今 すぐ 表示 | 編集 | 削除 | 
| Groovy タグ 重大 度 4、 5 


setest デフ ォ ル ト と し て 設定 | 今 すぐ 表示 | 編集 | 削除 
Cloud Agent 

test デフ ォ ル ト と し て 設定 | 今 すぐ 素 示 RS | 削除 

Cloud Agent l 
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は じ め に 
カタ ログ に つい て 


カタ ログ に つい て 


カタ ログ は 一 時 的 な 置き 場所 で あり 、 そ こ か ら Web アプ リケーション を 選択 し て サブ プス クリ プシ ョ ン に 追 
加 で きま す 。 カ タロ グエン トリ は 、 ア カウ ント で 完了 し た マッ プ お よび 脆弱 性 スキ ャ ン か ら 処 理 さ れ ま す 。 
カタ ログ エン トリ は Web アプ リケーション で ある 必要 は な く 、 特 定 の ポー ト で HTTP リク エス ト に 応答 す 
る Web サー バ で ある こと だ けが 必要 で す 。(Express Lite ユー ザ の 場合 、 カ タロ グ 機 能 は 使用 で きま せん 。) 


開始 手順 

ユー ザ (また は 別 の エ ユーザ) が 、VM アプ リケーション を 使用 し て マッ プ や 脆弱 性 スキ ャ ン を 開始 する まで 
カタ ログ は 空 で す 。 完 了 す る と 、 結 果 を 処理 する こと が で きる よう に な り ま す 。 

- スキ ャ ン 結 果 の 処理 [Web アプ リケーション 」 つ つ 「 カ タロ グ 」 を 選択 し 、 リ スト の 上 に ある 「 更 新 」 を 
クリ ッ ク し ます 。 

- マッ プ 結 果 の 処理 : [Web アプ リケーション 」 っ 「 マ ッ プ 」 を 選択 し 、1 つ 以 上 の マッ プ を 選択 し て か ら 、 
「 結 果 を 処理 」 を 選択 し ます 。 


新しく 検出 され た Web アプ リケーション の 新しい カタ ログ エン トリ が 表示 され ます 。 これ ら の Web アプ リ 
ケー ショ ン を アカ ウン ト に 追加 し 、 セ キュ リティ リス ク が ある か どう か を 簡単 に スキ ャ ン で きま す 。 


ダッ シュ ボー ド Web アブ リケーション スキ ャ ン Burp レポ ー ト 設定 KnowledgeBase 


[£] web アブ リケーション の 管理 Web アプ リケーション 


結果 を 検索 | アク ショ ンマ || 更新 | 
EC 


1-20/195 |» Q d$ v 


C3 | osm ポー ト NetBIOS 状態 作成 日 x 
| 編集 74 139 WIN7-26-174 04 May 2017 
wu | ESSE . [7 22 En 04 May 2017 
| 新規 コメ ント を 追加 77 11 04 May 2017 
en 97 220737 /3£I ("as 80 ——— 2K3-CF8-26-149 (an | 07 Feb 2017 


Web アプ リケーション の 場所 が わか ら な い 場 合 で も 、 そ の 場所 を 特定 で きる よう に な り ま し た 。 検出 方 法 が 
改善 され た こと に より 、 サ ー バ が 複数 の 仮想 ホス ト を 実行 し て いる 場合 に 、 存在 し て いる アプ リケーション 
が より 正確 に 特定 され 、 そ れ ら が WAS の 「 カ タロ グ 」 に 追加 され る よう に な り ま し た 。 WAS の 「 カ タロ 
グ 」 が 更新 され 、WAS スキ ャ ン で 検出 され た が Web アセ ッ ト と し て 追加 され て いな い Web アプ リ ケ ー シ ョ 
ン が 表示 され る よう に な り ま し た 。 


C PP アド レス FQON a ボー ト NetBIOS 
f asov 50 
a BREDIS pa 
wE | 10 10 26 238 bank yuln Ga Gueys com 0 
10.10.10.88 tom2k12r2-dc com2012r2 vuin.qa.q... 80 COMQK12R2-DC 
was 
Li i 202.191.140.197 corpbenk com 80 
KEAR ー 
" [r2] E funkytown vuin qa qual/s.com LJ 
サブ スク リプ ショ ン | 10102677 funkytown. yuln.G8 qualys.com 0 


Quitar funk town vuln qa Qualys c om 80 
ml Jamo? ville na nuala rnm. an 


PT TE] Preview 
http://funkytown.vuln.qa.qualys.com:80 
IP address: null FOON: funikyytown vuin ga qualys.com WAS スキ ャ ン で 検出 され た 

gS Updated by — | 17 Mar 2017 527PMG 0 1 Web アプ リケーション 
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検出 結果 の 管理 


すべ て の 検出 結果 を 1 か 所 で 管 
管理 お よび 


H 


ブ に 一 覧 表示 され ます 。 


検索 機能 を 強化 し 、 検 出 タ イプ を 素 
1007 4 Jv 


て 、 各 検出 タイ プ に 応じ た 専 


Å 


無効 に な り ま す 。 


© _ Qualys に よる 検出 
- Burp 問題 


| 
- Bugcrowd 送信 


AROPE E L TRER 


する と 、Burp に 関連 し た 検出 結 


スト に 表示 され る アイ コン を 使 


ー ド 14345 


果 に 適 / 


E し ます 。 す べ て の 検 昌 


Burp の 検出 結果 の イン ポー ト 


(Express Lite ユー ザ の 場合 、 こ 


脆弱 性 を 
WAS Burp エク ステ ンション を 


Professional Edition と Burp Suite Community Edition の 


くだ さい 。 


また は 、「 検 出 」 つ [Burp] > MYR- h] Zi] 
Burp ファ イル を 選択 し 、Burp レポ ー ト の 対象 と な 


を 使用 し て イン ポー ト し た 問題 が 検 H 


Burp レポ ー 


Ab 
HE 


の 機能 は 使 


使 


択 し ます 。 検 索 フ ィ ル タ の 「 検 H 
細 を 表示 で きま す 。 


「 検 出 」 タブ は 、 アプ リケーション セキ ュ リ ティ の 脆弱 性 の 検 


3 
A 


HH 結果 (Qualys、Burp、Bugcrowd) が 、「 検 


く 見 つけ る こと が で きる フィ ル タ が あり ます 。 通 
タ が 表示 され ます 。 例 えば 、「 検 8 
1] で きる フィ ル タ が 有効 に な り 、 そ の 他 の 適 


] で きま せん )。 


手動 で 検証 する た め に WAS の 検出 結果 を 直接 Burp Repeater に イン ポー ト す る 場合 は 、Qualys 
1 し て みる こと を お 勧め し ます 。 こ の エク ステ ンション は 、Burp Suite 
方 で 動作 し ます 。 


Qualys WAS Burp エク ステ ンション は 、「Bxtender」 タ ブ に ある BApp Store で 入手 で 
Burp エク ステ ンション の 詳細 に つい て は 、Qualys コ á 


ュ ニ ティ の こち ら の ブロ グ 記 ヨ 


は じ め に 
検出 結果 の 管理 


H 
H 


LI 
LI. 
タ 


H] 


常 の フィ ル タ に 加え 


HH タイ プ 」 と し て [Burp] ZER 
1H で き な い フィ ル タ は 


し て 検出 タイ プ を 区 別 す る こと が で きま す 。 


す 。 Qualys WAS 
(英語 ) を 参照 し て 


内 し ます 。 ロ ー カ ルフ ァイル シス テム か ら XML 形式 の 
っ て いる Web アプ リケーション を 選択 し ます 。 


HH リス ト に 表示 され ます 。「 検 出 」 つ 「 検 出 リ スト 」 を 選 
HARAT] C [Burp] HERTA L, H 


日 、 状 態 、 重 大 度 な どの 問題 の 詳 


a 結果 を フィ ル タ すべ て クリ ア 
UT 検出 タイ プ の 
選択 


確認 済み 腹 融 性 の 車 大 度 


Bugcrowd 
問題 の ステ ー タ ス 


名 前 


Cross-site scripting (reflected) 


ittp://12] 0.0. t/mutitidae/index php [username parameter] 


Cacheable HTTPS response 


sqfebrowsing.google.com/safebrowsing/downloads 


e Cross-site scripting (reflected) 
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問題 の 重大 度 


グル ー プ 
回 E 


最新 の 検出 


Bugcrowd と の 統合 


は じ め に 
Bugcrowd と の 統合 


Bugcrowd ユー ザ は 、 承 認 済み の Bugcrowd 送信 を WAS アカ ウン ト に イン ポー ト す る こと も で きま す 。 


Bugcrowd と の 統合 で は 、WAS 【 
ティ プロ グラ ム に よっ て 検出 され た 脆弱 性 


こよ っ て 特定 され た 脆弱 性 と 、Bugcrowd に よっ て 管理 され る バグ バウ ン 
に つい て 、 表 示 と レポ ー ト を 行う 手段 が 提供 され ます 。 


「 検 出 」 つ 「Bugcrowd」 つ 「 イ ン ポ ー ト 」 を 選択 し 、 ロ ー カ ルフ ァイル シス テム か ら CSV 


ŽO Bugcrowd 


ファ イル を 選択 し 、Bugcrowd ファ イル の 対象 と な っ て いる Web アプ リケーション を 選択 し ます 。 


Bugcrowd ファ イル を 使用 し て イン ポー ト し た 問題 が 問題 リス ト に 表示 され ます 。 
を 選択 し ます 。 


「 検 出 」 つ 


「 検 出 リ スト 」 


Web Application Scanning — v g 


Dashboard Web Applications Scans Detections Reports Configuration KnowledgeBase 


*ZZ Detection Management 


Detection List Burp Bugcrowd 
ED o o eo naos 
E 
a Filter Results Clear All 人 9 testxss 
Target 
© son 


Web Application 


(test duplicate. 


Helpw | Anisha Moharirw | Logout 


Bugcrowd 問題 の 重大 度 1-6of6 eov 
Group — e - 


Number. b7f8bf2ef811b3a511928d7971187211c8/30714499ce35ce3ctee39c98e833e First Dete 


Confirmed Vulnerability Level 21 Apr 2017 


Last Detected 
21 Apr 2017 


1 B2 0301405 


Q testxss 

O sau 

(D test duplicate 
Preview Y 
EENEN sci 
Web Demo Web Application , Status: New 


Times Detected 
1 


完全 スキ ャ ン を 開始 せ ず に 複数 の 検出 結果 を 再 テ スト 


選択 し た 複数 の 検出 
ます 。 再 テス ト に は 、 A 
お よび Web アプ リケーション に 


MI EN Ny O 


結果 を 再 テ スト する よう スキ ャ ン を 開始 し て 、 脆弱 性 の 検出 結果 を 簡単 に 再 


テス ト で き 


1 で きま す 。 同じ QID 
[テス ト す る こと が で きま す 。 H 


CANE NO いずれ か の 検出 結果 の 再 テ スト を 


キャ ン セ ル す る と 、 す べ て の 検出 結果 の 再 テ スト スキ ャ ン が キャ ン セ ル さ れ ま す 。 
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ダッ シュ ポ ボード Web アプ リケーション スキャン 


検出 レポ ー ト 設定 Knowlec L3 


BE nz 検出 リス ト Burp Bugcrowd 


IT GE 


n 


C -« 


Web アプ リケーション 
パッ チ を イン スト ー ル 


タグ 
AETA 
WEATv-H 
Dis d 
= 
無視 


認証 の テス ト 


jcted Cross-Site Scripting (XSS) in HTTP Header 
hdomLink Cookies.php 

jected Cross-Site Scripting (XSS) in HTTP Header 
hdomLink Cookies.php 

icted Cross-Site Scripting (XSS) in HTTP Header 
hdomLink.php 


hcted Cross-Site Scripting (XSS) in HTTP Header 
hdomLink.php 

F 

hcted Cross-Site Scripting (XSS) in HTTP Header 
Mn 

Foted Cross-Site Scripting (XSS) in HTTP Header 
hitmi 


は じ め に 
認証 の テス ト 


「 検 由 」 つ 「 検 出 リ スト 」 を 選択 
ET, 左 パ ネル の フィ ル タ を 使 
用 し て 、 同 じ QID お よび Web ア 
プリ ケー ショ ン を 持つ すべ て の 
検出 結果 を 表示 で きま す 。 再 テ ス 
ト 対象 の 検出 結果 を 選択 し ます 。 
「 ア クシ ョ ン 」 メニュー から 「 再 
テス ト 」 を 選択 し ます 。 確認 後 、 
選択 し た すべ て の 検出 結果 で 一 
度 に 再 テ スト スキ ャ ン が 開始 さ 
れ ま す 。 


検出 スキ ャ ン を 実行 せ ず に 、 定 義 す むる Web アプ リケーション の 認証 レコ ー ド を テス ト で きま す 。Web アプ 
リケーション の 認証 を 素早 く テ スト し 、Web アプ リケーション を 認証 する スキ ャ ナ の 機能 を 素早 く テ スト す 


る こと が で きま す 。 


[Web アプ リケーション 」 > [Web アプ リケーション 」 を 選択 し 、 
イッ クア クシ ョ ン 」 メニ ュー か ら 「 認 証 の テス ト 」 を 選択 し ます 。 


ダッ シュ ボー ド Web アプ リケーション Atv» 検出 レポート 


E] web アプ リケーション 管理 


Web アプ リケーション 


Web アプ リケーション を 選択 し て 、「 ク 


ペー ジ 数 脆弱 性 数 
CE … =pzozm 
に | https//10.11.72.37 == | 
1589 
z https://10.11.72.37 AE 
-E サイ トマ ッ プ を 表示 
スキ ャ ン 情 報 https://10.11.72.37 レポ ー ト を 表示 
=] 1583 検索 b 
スキ ャ ン 済 https://10.11.72.37 
未 ス キャ ン = 1584 ブラ ウザ で 開く 
スケ ジュ ー ル 情報 https://10.11.72.37 | 


認証 テス トス キャ ン が 「 終 了 」 ス テー タス に な っ た ら 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー か ら 「 レ ポー ト を 
表示 」 を 選択 し 、 認 証 テ スト スキ ャ ン レ ポー ト を 表示 し ます 。 
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は じ め に 
Web アプ リケーション の 大 量 ス キャ ン 


Web アプ リケーション の 大 量 ス キャ ン 


Qualys WAS は 、 非 常に スケ ー ラ ブル な Web アプ リケーション スキ ャ ン ソ リュ ーション で す 。 今回 の 機能 
拡張 で は 、 複 数 の Web アプ リケーション を スキ ャ ン す る 機能 (マル チ ス キャ ン ) が 追加 され 、 大 量 の Web 
アプ リケーション プロ グラ ム の スキ ャ ン に 対応 する た め の 機 能 が 強化 され まし た 。 こ の 機能 に より 、 膨 大 な 
量 の Web アプ リケーション を スキ ャ ン し 、 実 行 中 の スキ ャ ン や スキ ャ ン が 完了 レ し て いる アプ リケーション 
な ど 、 さ ま ざ ま な ニー ズ に 対応 し た 情報 を 確認 する こと が 可能 で す 。 


アプ リケーション の 選択 (個々 の アプ リケーション また は タグ を 使用 し た 選択 ) 

Qualys の タグ に よる アセ モット 管理 機能 を 利用 し て アプ リケーション を 分 類する こと で 、 属 性 が 類似 する ア 
プリ ケー ショ ン を まとめ て スキ ャ ン す る こと が で きま す 。 アプ リケーション を タグ で 分 類する 時 間 が な い 場 
合 で も 、 ア プリ ケー ショ ン 名 で 選択 する こと が で きま す 。 


新しい WAS 脆弱 性 スキ ャ ン を 再開 ヒン ト 表示 : 有効 | 無効 ヘル プ を 起動 X 


スキ ャ ン 名 を 指定 し て 評価 対象 を 設定 


o スキ ャ ン の 詳細 OST 
Web アプ リケーション 脆弱 性 スキ ャ ン - 2014-06-27 
2 スキ ャ ン 設 定 


設定 内 容 を 確認 Ad vi 
セキ ュ リ ティ リス ク を スキ ャ ン す る Web アゴ リケーション ぞ 指 定 し て くだ さい 。 
O を 前 955 


タグ 付け され た Web アゴ リケーション を 1 つ 以 上 選択 し て くだ さい 。 リス ト に | は 、 アク セス で きる すべ て の タグ が 表示 され ます 。 
St M) すべ て 削除 


F Datacenters 削除 


[New vork 削除 


キャ ン セ ル 


スキ ャ ン 設 定 の 選択 (認証 、 オ プシ ョ ンプ ロフ ァイル 、Scanner Appliance) 


マル チ ス キャ ン 機 能 に は 、 さ ま ざ ま な オプ ショ ン が あり 、Web アプ リケーション 用 の デフ ォ ル ト 設 定 を その 
まま 使用 する こと が で きま す が 、 デ フォ ルト 設定 を 使用 し な いで スキ ャ ン す る こと も で きま す 。 


新しい WAS 脆弱 性 スキ ャ ン を 再開 ヒン ト 表示 : 有効 | 無効 ヘル プ を 起動 X 


スキ ャ ン の 設定 を 実行 


スキ ャ ン の 詳細 認証 の BRI 
スキ ャ ン 設定 対象 の Web アプ リケーション の スキ ャ ン ゼ 必要 な 場合 は 、 デ フォ ルト の 認証 し コー ド を 使用 し て くだ さい ぃ 。 
使用 する 認証 レコ ー ド デフ ォ ル ト 放言 レコ ー ド 
設定 内 容 を 確認 
主 記 : デコ ォ ル ト の 認証 レコ ー ド が な い Web アゴ リケーション | は 、 認証 な し で スキ ャ ン さ れ ま す 。 
オブ ショ ンプ ロフ ァイル 
宮 種 の スキ ャ ン オ ブシ ョ ン が 指定 され て いる オブ ショ ンプ ロフ ァイル を 選択 し て くだ さい 1。 
オブ ショ ンプ ブロ ファイ Initial WAS Options 
ル * 


Q9) Web アプ リケーション に デフ ォ ル ト の プロ ファ イル が な い 場 合 | は この づ プロ ファ イル を 使用 する 
O すべ て の Web アゴ リケーション で この ブロ ファ イル を 使用 する 


Scanner Appliance 


スキ ャ ナ を 選択 外部 スキ ャ ナ は 、 ペリ ミタ ー ス キャ ン で 使用 可能 で す 。 内 部 ネッ トワ ー ク の スキ ャ ン の 場合 は 、 ア 
プリ ケー ショ ン ネ オル ト 」 を 選択 し て くだ さ し 。 


Scanner Applance* 外部 AA 
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マル チ ス キャ ン の スキ ャ ン の 状態 を プレ ビュ 


Web Application Scanning 


ー パ ネル で 確認 


v 


ダッ シュ ボー ド Web アブ リケーション スキャン 検出 レポ ー ト 


ヘル プ ow 


は じ め に 
Selenium スク リプ ト を 使用 し た スキ ャ ン 


Alexa Kim w ログ ヴァ ウト 


1-44 üv 
名 前 状態 ” リン ク 数 EAR — AXUH v 
a 結果 を フィ ル タ JA] Web アプ リケーション RIE スキ ャ ン -2014-06-27 — (— [Em 実行 中 - 27 Jun 2014 me. 
Web ア ブリ ケー ショ ン 合 計数 4 
クイ ッ ク フ ィ ル タ 
[ Web アプ リケーション RISE RF PY - 2014-06-26 imi aT 2 26 Jun 2014 m 
同 マイ スキ ャ ン Veb アプ リケーション 合計 数 4 3 
四 マル チ ス キャ ン f] Web アプ リケーション 検出 スキ ャ ン - Demo Web Applc… aT 1 - 04 Apr 2014 m 
547 a http://10.10 26.238.80/ 
[< 再開 Schedule scan My Vulnerability Scan t ル P 30 Jan 2014 m 
[]B39tE Av http:710.10.26.238:80 gm 
回 検出 スキ ャ ン 
z フレ ビュ ー EE 
M —— 
Web アブ リケーション 脆弱 性 スキ ャ ン - 2014-06-27 J^ 
B スク ジュ ー ル [gg] Web ァ フ iA us dn 
回 オン テマ ント 開始 し た スキ ャ ン by Alexa Kim (Guays_ak1) | 27 Jun 2014 1:13AM GMT | 実行 中 最終 00:02:49 : 
c! P 
Web アフ リケーション nd oe d サマ リ 
認証 : デフ ォ ルト 25.00% 完了 
スキ ャ ナ : MS 


ー 般 情報 | 利用 規約 | サポ ー ト 


マル チ ス キャ ン 対 象 の すべ て の スキ ャ ン に 関す る 詳細 な スキ ャ ン 状 態 の 表示 


Web Application Scanning 


Y 


ダッ シュ ボー ド Web アブ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


Q スキ ャ ン 管 理 


スキ ャ ン リス ト 


へ ヘルプ we 


Alexa Kim w ログ アァ ウト 


結果 を 検索 < スキ ャ ン リ スト に 戻る Web アプ リケーション 脆弱 性 スキ ャ ン - 2014-06-27 
cR — 
yz " 
結果 を フィ ル タ 名 前 状態 ULZSE XANH スキ ャ ン 日 ~ 
あの た J| Web アプ リケーション ISTE 2:377 - 2014-06-27 Siic... 実行 中 - 27 Jun 2014 円 ・ 
http:710.10.26 
マイ スキ ャ ン 較 f| Web アプ リケーション RIE AF tY -2014-06-27 Sic... — RT 214 27 Jun 2014 m. 
マル チ ス キャ ン http:710.10.26.238.807 " 
247 [A Web アプ リケーション WSStE ZF PY - 2014-06-27 Sic... aT 214 27 Jun 2014 m 
http:/10.10 26 y [ 
[]RSitE An EA Web アプ リケーション 脆弱 性 スキ ャ ン - 2014-06-27 Sic. RT 214 27 Jun 2014 m- 
検出 スキ ャ ン - 
E "bs アァ ウ ショ ンマ | -ESEERII 
EXT 
Web アブ リケーション 脆弱 性 スキ ャ ン - 2014-06-27 Slice #1 
スケ ジュ ー ル Web アプ リケーション : My Web Application 
オン デマ ンド 開始 し た スキ ャ ン by Alexa Kim (quays ak1) | 27 Jun 2014 1:13AM GMT | 終了 (00:03:10) 
回 AP 
Web ア プリ ケー ショ ン モー ド : 団 オッ テマ ンド RBHS EAA- 。 重大 度 - 中 重大 廣 - 低 
Bu aU 133 17 26 90 
スキ ャ ナ : AB 


Selenium スク リプ ト を 使用 し た スキ ャ ン 


Qualys Browser Recorder (QBR) を 使 
リケーション の 自動 テス ト の スク リプ ト を 記録 お 3 
D) ブラ ウザ エク ステ ンション で す 。QBR を 使 
チャ し て 、 自 動 テ スト ケー ス を 素早 く 衛 


上 有朋 


単に 生成 、 編 集 、 お よび 


生 す る た め の 無 償 の (Google Chrome ブラ ウザ ) 
3 する と 、 ブ プラ ウザ で Web 要素 お よび 記録 操作 を キャ プ 


一 般 情報 | 利用 規約 | サポ ー ト 


JLT, Selenium スク リプ ト を 作成 で きま す 。QBR (X, Web アプ 


z 


E で きま す 。 ま た 、 ブ ラウ ザ に 現在 表示 


され て いる ペー ジ か ら UI 要素 を 選択 し 、 パ ラメ ー タ を 持つ Selenium コマ ンド の リス ト か ら 選 択 す る こと 


も で きま す 。 こ れ ら の スク リプ ト を WAS TIE 
お よび ビジ ネス ワー ク フ ロ ー を 容易 に 移動 で きる よう に な り ま す 。 


25 


1] す る と 、 ス キャ ナ が Web アプ リケーション の 複雑 な 認証 


は じ め に 
仮想 パッ チ 対応 


Web アプ リケーション で 使用 され る 一 般 的 な 認証 メカ ニズム は 、 シ ング ル サ イ ン オ ン (SSO) で す 。 こ れ は 
複雑 で ある た め 、 Qualys WAS で の 認証 お よび スキ ャ ン で は 混乱 が 生じ る 可能 性 が あり ます 。 QBR を 使用 
する と 、 ス キャ ナ の 認証 メカ ニズム を 科 略 化 で きま す 。 詳 細 な 手順 に つい て は 、 当 社 の ブロ グ 記 事 を 参照 し 
て くだ さい 。 


仮想 パッ チ 対 応 


WAS で は 、 ア カウ ント で WAS お よび WAF が 有効 の 場合 に 、 選 択 し た 脆弱 性 (検出 結果 ) に 仮想 パッ チ 
を イン スト ー ル で きま す 。 イ ンス トー ル が 完了 する と 、 自 動 で ファ イア ウォ ー ル ルー ル が 追加 され 、 選 択 し 
た 脆弱 性 の 悪用 を プ ブロック し ます 。 WAF の API に 仮想 パッ チ の 管理 に 役立つ 機能 が 追加 され て いま す 。 


Web Application Scanning マン g ヘル プ マ 


ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


E] web アプ リケーション 管理 Web アブ リケーション 認証 


c QD 名 前 ダル ー ブ 最新 の 検出 世代 
結果 を フィ ル タ 7) 新規 150122 Cookie IZ [secure] 必 性 が 含ま れ な い (Cookie Does Not Contain The "secure" Attribute) cEERZZZUM- 13 1488 
tif http-// | 表示 | 
Web アプ リケーション [7] 新規 150123 Cookie に [HTTPOnly] 属性 が 含ま れ な い (Cookie Does Not Contain The [HTTPOnly] Attribute) 無視 148i 
http 
E ソス トー ル | 
新規 50122 Cookie に [secure] 属性 が 含ま れ な い (Cookie Does Not Contain The "secure" Attribute) „....**" » ES EN p 
http:// E 
E ; 重大 庶 を 編集 
: [7] 新規 150085 Slow HTTP POST ORESStE (Slow HTTP POST vulnerability) : 1 
http: 仮想 パッ チ を イン スト ー ル し ます aa 
前 回 スキ ャ ン 日 EER 150022 構文 エラ ー の 発生 (Syntax Error Occurred) (WAF が 必要 ) 
= http: 
修正 済み 50022 構文 エラ ー の 発生 (Syntax Error Occurred, E N FO | 
quidem 人 E» je ここ 9 —- 
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レポ ー ト 
レポ ー ト の 作成 手順 


レポ ー ト 
レポ ー ト の 作成 手順 


「 新 規 レポ ー ト 」 を 選択 する か 、 右 上 隅 に ある け 」 ボ タン を クリ ッ ク し ます 。 


Web Application Scanning — v 


ヘル プ vw Jason Kim w ログ アァ ウト 


ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


il レポ ー ト 管理 3 
CT [enn zo~ 
c3 名 前 形式 タブ 状態 サイ ズ 生成 日 - 


レポ ー ト 作成 ヒン ト 表 示 : 有効 [無効 ヘル プ を 起動 


ステ ッ プ 42 作成 する レボ ー ト の 情報 を 指定 レポ ボ ポート タイ プ を 選択 
Q sm 絞り 込み 条件 を 選択 oum-w | し ます 。 図 の 例 で は 
b し ポート で でき る デー タレコ ー ド 、 フ ー apena] Web アプ リケーション 

レポート タ イブ * レポ ー ト が 選択 

[Web アプ リケーション レポ ボート 

アリ ケー シシ ポート h ] され て いま す 。 

スキ ャ ン レポ ー ト 


スコ アカ ー ド レポ ー ト 
訪 2 ログ レポ ー ト 


Web アブ リ ケ 
キュ リティ スズ 


タグ また は 名 前 で Web 
OBAI アプ リケーション を 
レポ ー ト 対象 の Web F: ョ ン ま た | は タ ヴ (また | は その 両方 を 選択 し ます 5; 選択 し ます . 


o 対象 タグ を 選択 


ステ ッ プ 22 レポ ー ト の 対象 を 選択 


Em 
Web アブ リケーション を 選択 


fv) secum 


web アプ リケーション | 


Web アプ リケーション が 選択 され て いま せん 。 
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レポ ー ト 
レポ ー ト の 作成 手順 


また は 、 ス キャ ン リ スト か ら ス キャ ン を 選択 し て スキ ャ ン レ ポー ト を 迅速 に 生成 し 、「 ク イッ クア クシ ョ ン 」 


メニ ュー か ら 「 レ ポー ト を 表示 」 を 選択 し ます 。 


ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ー ト 設定 KnowledgeBase 


JV オプ ショ ンプ ロフ ァイル 


a 結果 を フィ ル タ < FirstScan 
| 11p://10.10.31.25/regression app/15000 1/Case-2-With-One-Form.html 
クイ ッ ク フ ィ ル タ sug — — 
@ 2019-02-22 - Vulnerability Scan Burp issue 
| マイ スキ ャ ン http:710.11.72.37 
] マル チ ス キャ ン 7c Scan : Dynamic tag Run $30 
547 http.//10.11.72.37 
F < V Scan : Dynamic tag Run #29 
BSATUL http.//10.11.72.37 
matr ご 7] PGI 2019-02-20 - Discovery Scan TestWASUI-7857 
) 認証 テス ト 
http.//10.11.72.39 
E 7] < 2019-02-20 - Vulnerability Scan TestWASUI-7857NewDNS 


REA EP 


再 ス キャ ン 
スケ ジュ ー ル 


une 


同様 に 、Web アプ リケーション の 「 ク イッ クア クシ ョ ン 」 メ ニュ ー の 「 レ ポー ト を 表示 」 を 使用 し て 、Web 


アプ リケーション レポ ー ト を 生成 する こと も で きま す 。 


ダッ シュ ボー ド Web アプ リケーション スキ ャ ン 検出 レポ ボート 設定 


Web アプ リケーション 


E] Web アプ リケーション 管理 


結果 を 検索 ン | 新規 Web アプ リケーション | | イン ポー ト | | 新規 スキ ャ ン マ 
on 
a 結果 を フィ ル タ 1590 T 
B5 | hitps//10.11.72:37 € 
7] 1589 in z 
マ https://10.11.72.37 
1582 E 
スキ ャ ン 情 報 hitps://10.11.72.37 
l 1583 x 
RSA https:/10.11.72.37 | 
ン | ココ ラッ ザ で 
1584 ブラ ウザ で 敵 く E 
スケ ジュ ー ル 情報 https://10.11.72.37 認証 の テス ト 
スケ ジュ ー ル 設定 され た スキ ャ a の Si スキ ャ ン T 
` fpS- ガ 10.11.72 
e £ スケ ジュ ー ル b 
C) 検出 可 1581 ES E 
Dest https://10.11.72.37 別名 で 保存 
スケ ジュ ー ル 設定 され た スキ ャ [ 1588 Aax»rtsn = 
ン な し https-//10.11.72.37 | 
C ses 1886 | 2702an e 
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レポ ー ト 
Web アプ リケーション レポ ー ト の 例 


Web アプ リケーション レポ ー ト の 例 


Web Application Scanning Y EA | ^W  JaonKmw | nZy9k 


ダッ シュ ボー ド Web アブ リケーション スキ ャ ン  Bup レポ ー ト 設定 KnowledgeBase 


Web アプ リケーション レ 


Web アプ リケーション レポ ー ト B. 


対象 の Web アゴ リケーション ご と に 、 検出 され た 脆弱 性 お よび 機 空 コン テン ツ の 合計 数 が 表示 され ます 。 


Web アプ リケーション (1) MyWeb Application 


“= 新規 , ア クティ ブ , 再 オー プン 
サマ リ LLEULSURZE web アプ リケーション | | RSH || 概 寄 コン テン ツ Ww 
ーー 1 1 0 Z 
重大 訟 別 の 結果 Ar-5A8 0m 
s 2 
7 
6 - 
1 
4 - 1 
i I 
B Bs THA per per BETSY IRRE 新規 アウ ティ ブ 再 オー プン 
5 4 3 2 1 

7x—-73 085 OWASP Top 10 2013 Vulnerabilities. 
2 | Injection 

Broken Authentication and Session Management 

Cross-Site Scripting (XSS) 

| 
| Insecure Direct Object References 

r EE security Misconfiguration 

Sensitive Data Exposure 

Missing Function Level Access Control 

Cross-Site Request Forgery (CSRF) 
o 

Cross-Site saL Path nformation | Using Components with Known Vulnerabilities 
Scripting Injection Disclosure Disclosure 
Unvalidated Redirects and Forwards 
9 2 3 4 


> aat (6 
b 収集 情報 7) 


> Web アブ リケーション の 詳細 
! 重大 度 


29 


スコ アカ ー ド レポ ー ト の 例 


Scored Report - New York 
Web アプ リケーション の 検出 結果 の 合計 北 が 重大 度 唱 こ リー ト さ れ て 表示 され ます 。 


すべ て の Web アプ リケーション 


フィ ル 人 な が 適用 され て いま せん 


サマ リ 


重大 府 別 の 結果 


重大 朗 機密 コン テン 
5 4 3 2 1 


/ 収集 情報 


2013 OWASP Ef 10 I.E 51$ bis 


Injection 
Broken Authentication and Session Management 
Cross-Site Scripting (XSS) 

Insecure Direct Object References 

| Security Misconfiguration 

Sensitive Data Exposure 

Missing Function Level Access Control 

Cross-Site Request Forgery (CSRF) 

Using Components with Known Vulnerabilities 

Unvalidated Redirects and Forwards 

o 5 10 15 20 25 


RSR Web 7» 7U5 —737.k& 10 


mm ooo neo Appiicarion 


TOIN WAS SCAN TEST 
= My Web Application 
o 2 4 6 8 10 12 14 16 


qduhahik4dAL-T47227A7LhEBR10 


Catalog Web Application: 202.32.183.217, Port 80 


TOIN WAS SCAN TEST 


My Web Application 


レポ ー ト 
スコ アカ ー ド レポ ー ト の 例 


Lf roii ) 


Catalog Web Application: 202.32.183.217, Port 80 


セキ UPSA Web アプ リケーション Ws 
ED 4 18 
2Nv-750W(8 5t 
20 
18 
10 
" 

Cross-Site SQL Path Information 

Scripting Injection Disclosure Disclosure 
WASC EÈ 10 048 1B PESE 

18 20 22 24 26 28 30 32 34 36 


0 0 2 0 7 0 
0 0 2 0 0 0 
0 0 2 0 0 0 
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レポ ー ト 
レポ ー ト 作成 の ヒン ト 


レポ ー ト 作成 の ヒン ト 


レポ ー ト の 表示 、 設定 の 編集 、 繰り 返し 

レポ ー ト は 対話 形式 で 操作 し ます 。「 レ ポー ト の 編集 」 ボ タン を クリ ッ ク す る だ け で 、 レ ポー ト の 設定 を 変 
更 で き 、 変 更 を 反映 し て 更新 され た レポ ー ト が 作成 され ます 。 こ の よう に し て 、 レ ポー ト の 内 容 に 脆弱 性 や 
Web アプ リケーション に つい て の フィ ル タ を 簡単 に 適用 で きま す 。 


bb アブ リケーション レポ ー ト X 


ン レ ポー ト Bm. 


| に 、 RE NASS tkdS LOSS 7 "vo Ss eret d. 


leb Application レポ ー ト の 編集 | タウ ン ロ ー ド 


アク ティ ブ , 再 オー プン 
LLEULLUPEGE Web ア ブリ ケー ショ ン RSE | 擬 密 コン テン ツ RERE 
MED 1 1 0 TA 


レポ ー ト を 横 に 並べ て 比較 
レポ ー ト の ヘッ ダ に ある アイ コン を クリ ッ ク す る だ け で 、 レ ポー ト が 新しい ウィ ンド ウ で 開か れ ま す 。 こ れ 
に より 、 レ ポー ト を 並べ て 比較 し た り 、 複 数 の レポ ー ト で 同時 に 作業 する こと が で きま す 。 


m 新しい ウィ ンド ウ て 


。 開き ます 


密 コ ン テ ン ツ の 合計 数 が 表示 され ます 。 i A 


roii) 


た まり こざ デリ と 時 Web アブ リケーション | | RBH | 機密 コン テン ツ | REFE 
MED 1 1 0 7 


xm 


レポ ー ト を 保存 する 方 法 
レポ ー ト は 「 ダ ウン ロー ド 」 オ プシ ョ ン を 使用 し て 、 ロ ー カ ル の コンピ ュー タ に ダウ ン ロ ー ド し ます 。 ま た 
レポ ー ト は アカ ウン ト に も 保存 で きま す 。 


Web アプ リケーション レポ ー ト x 


= 
コン テン ツ の 合計 数 が 表示 され ます 。 
クリ ッ ク し て 形式 
し ポート の 編集 (ZIP, HTML, PDF, 
Ves lE PDF. PPT, 
XML, CSV) を 選択 
し ます 
E そ 主 り : デ り と ど 計 Web アブ リケーション RSH | | 従 容 コン テン ツ | | 収集 情報 


レポ ー ト 
レポ ー ト 作成 の ヒン ト 


保存 し た レポ ー ト は レポ ー ト リス ト に 表示 され ます 。 各 レポ ー ト (サマ リ ) の 表示 、 ダ ウン ロー ド 、 再 実行 、 
E た タグ を 追加 し て 他 の ユー ザ と の レポ ー ト の 共有 だ が 可能 で す 。 


(rai 


E L2: 543 iR 


T web ア プリ ケー ショ ン レ ポー ト cora Web ア フリ ター m$ 
a5 | / . me 


クイ ッ ク ア クシ ョ ン 


クイ ッ ク フ ィ ル タ 
C) マイ ルポ ー ト 
247 タグ を 削除 


削除 
O Web アプ リケーション レポ ー ト 


A スキ ャ ッ レ ポー ト 


デフ ォ ル ト の レポ ー ト 形式 の 設定 
デフ ォ ル ト の レポ ー ト 形式 を 設定 する こと で 、 時 間 を 節約 で きま す 。 レポ ー ト を ダウ ン ロ ー ド する た びに 、 


s> 


ご 使用 の レポ ー ト 形式 を 選択 する 必要 は あり ませ ん 。 右 上 隅 に ある ユー ザ 名 か ら 「 マ イプ ロフ ァイル 」 を 選 
択 し て 、 プ ロフ ァイル 設定 を 編集 する だ け で す 。 


ユー ザ 編集 : Jason Kim (quays_ak12) 


編集 モー ド ユー ザ 設 定 を 定義 

ユー ザ の 詳細 > 注記 : この 制限 は 、 WAS し ポー ト に の み 適用 され ます 。 
200 MB 

[uit Lari po ? ユーザ の 現在 の 使用 状況 
685.9 KB 

アク ショ ン ロ グ 


デフ ォ ル ト の ダウ ン ロ ー ド 形式 * 


アカ ウン ト ア クティ ビ テ ィ Extensible Markup Lang 


脆弱 性 の 重大 度 の 意味 
「 付 録 」 を 選択 し て 「 重 大 度 」 を クリ ッ ク し ます 。 各 
集 情 報 ) に つい て の 説明 が 表示 され ます 。 

tiik 


> Web アブ リケーション の 詳細 
Y 重大 度 
v 脆弱 性 
Vulnerabilities (QIDs) are design flaws, programming errors, or mis-configurations that make your web application and web application platiorm susceptible to 
malicious attacks Depending on the level of the security risk, the successful exploitation of a vulnerability can vary from the disclosure of information to a complete 


compromise ofthe web application and/or the web application platform. Even if the web application isn't fully compromised, an exploited vulnerability could still lead 
to the web application being used to launch attacks against users ofthe site. 


ml 
uu 


大 度 と 各 検 由 タ イプ (脆弱 性 、 機 密 コ ン テ ン ツ 、 収 


JV 


重大 度 レベ ル 説明 

| | Minimal Basic information disclosure (e.g. web server type, programming language) might enable intruders to discover other vulnerabilities, but lack of 
this information does not make the vulnerability harder to find 
Intruders may be able to collect sensitive information about the application platform, such as the precise version of software used. With this 

ER Medium information, intruders can easily exploit known vulnerabilities specific to software versions. Other types of sensitive information might disclose 
a few lines of source code or hidden directories 

NEN Fe Vulnerabilities at this level typically disclose security-related information that could result in misuse or an exploit. Examples include source code 
disclosure or transmitting authentic ation credentials over non-encrypted channels 

"TT t7] Critical Intruders can exploit the vulnerability to gain highly sensitive content or affect other users of the web application. Examples include certain 
types of cross-site scripting and SQL injection attacks 

ENNEM Urgent Intruders can exploit the vulnerability to compromise the web application's data store, obtain information from other users' accounts, or obtain 


command execution on a host in the web application's architecture. 
» WEDYoTLU 
y 収集 情報 


32 


レポ ー ト 
カス タマ イズ 可能 な レポ ー ト テン プレ ー ト 


カス タマ イズ 可能 な レポ ー ト テン プレ ー ト 


関心 の ある 特定 の 情報 が 記載 され た テン プレ ー ト を 作成 する こと が で きま す 。 こ れ に より 、 ア プリ ケー ショ 
ン の 関係 者 に 適切 な 情報 を 簡単 に 配布 する こと が で きま す 。 カス タム テン プレ ー ト は 将来 の 使用 に 備え て す 
べ て アカ ウン ト に 保存 され ます 。 設 定 を 始め る に は 、「 レ ポー ト 」 つ つ 「 テ ンプ レー ト 」 を 選択 し て 、「 新 し い 
テン プレ ー ト 」 ボ タン を 選択 し ます 。 


c3 名 前 243 所 有 者 
[7] Web Application Report - Detections Web アプ リケーション レポ ー ト Eric Conrad (quays ec2) 
タグ [7] Scorecard Report - Tokyo スコ アカ ー ド レポー ト Christina Hansen (quays ch4) 
m [7] TEsT Web アプ リケーション レポ ー ト Jason Kim (quays 3k12) 
a [7] web Application Report (デフ ォ ルト ) Web ア プリ ケー ショ ソン レポート シス テム 
同 F SEUNS シス テ 
D Web ア フリ ケー ショ ソレ ポー ト し | Scorecard report (デフ ォ ル ト ) スコ アカ ー ド レポート シス テム 
スキャン レポ ー ト El Catalog report ( テ フ ォ ルト ) カタ ログ レル ポート シス テム 
O スコ アカ ー ド レポ ー ト - 
O カタ ログ レポ ボート | | Scan Report (デフ ォ ル ト ) スキ ャ ン レ ポー ト シス テム 


レポ ー ト テン プレ ー ト に は 多く の 設定 が あり 、 検 索 リ スト 、 脆 弱 性 の 検出 、 無 視 す る よう に 設定 され た 脆弱 
性 な どの フィ ルク を 設定 し た り 、 レ ポー ト に 含め る 内 容 、 グ ルー プ 化 、 ソ ー ト な どの 表示 を 設定 し た り で き 
ます 。 


レポ ボー ト テ ンプ レート 作成 ORTEN |S% ヘル プ を 起動 % 


ステ ッ プ 43 この レポ ー ト テン ブ プレート の 情報 を 指定 
Q =a , NE OBAH- 
名 前 * - " 
9 My Web Application Report レポ ー ト テン プレ ー ト 作成 
表示 サブ スウ リプ ショ ン 用 の デフ ォ ル ト の し ポー ト テ ソ プ レ ー ト に する EOM し ポー ト の 表示 オプ ショ ン を 定義 
級 り 込み 条件 を 朋 択 
し ポー ト で 利用 で きる テー タ ( し コー ド 、 フ ィ ー ル ド ) の セット は 、 選択 し た レポ ボー ト タ イ 1 8 y 含ま れ て いる コン テン ツ 
ETT ボー ト 対 象 に する コ キネ ント ぎ 選択 し て くだ さい 含め る . 
Web アプ リケーション レポ ー ト x 2 フィ ル タ y | を 選択 し て くだ さ きめ 3 
説明 
r^ e 表示 マツ 9r» EARE 
2 AT—5828VD 
Hoi yox 
ステ ッ プ 213 Define filters to include certain detections in y| "x OWASP に よる 
重大 度 


検索 リス ト フ ィ ル タ 


1 詳細 


これ ら の ち 、 胸 器 性 に つい て レボ ポー ト す る 検索 リス ト を 
o フィ ル タ | Ly が し ポー ト に 含ま れ ます 
3 表示 含む 以 下 の 検索 リト で 関連 付け られ て いる 脆 吾 性 。 検索 リオ 結果 の グルーブ 化 & ソー ト 


ーー EAE 4 及び SMIE 


現在 の レポ ー ト ヴ ル ー プ 化 設 ルー 
1. カ テコ ゴリ 削除 
素 リ スト で 関連 付け られ で いる 胸 弱 性 2. ダ グルーブ 削除 
3.QID 削除 
4.Web アゴ リケーション 削除 
重大 度 
それ ぞ れ の 結果 に 使用 す て くださ 
お よび 機密 コン テン ツ ッ を し レポー ト 対 象 に す 
$ed ;NEEENH: 00:03 0,2001 
た だ さい (正規 去 現 は 4 HIGH 5; ゝ 中 、 低 


る こと が で きま す 


キャ ン セ ル 
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レポ ー ト 
スケ ジュ ー ル レポ ー ト 


テン プレ ー ト を 共有 する 場合 は 、 他 の オプ ジェ クト (Web アプ リケーション や レポ ー ト な ど ) と 同様 に 、 テ 
ンプ レー ト に タグ 付け し て か ら 、 こ の タグ を (Administration ユー ティ リティ を 使用 し て ) ユー ザ の スコ ー 
プ に 追加 し ます 。 


スケ ジュ ー ル レポ ー ト 


スキ ャ ン を スケ ジュ ー ル する と き と 同 じ よ うに 、 自動 的 に レポ ー ト が 実行 され る よう スケ ジュ ー ル を 設定 で 
きま す 。 レ ポー ト の スケ ジュ ー ル は 、 日 単位 、 週 単位 、 月 単位 、 ま た は 1 回 限り の いずれ か に 設定 で きま 
す 。 レ ポー ト を スケ ジュ ー ル 設定 する と 、 最 新 の スキ ャ ン 結 果 に 基づく セキ ュ リ ティ アッ プ デ ー ト を 取得 す 
る こと が 可能 に な り 、 そ れ ら を 他 の ユー ザ と 共有 する こと が で きま す 。 


「 レ ポー ト 」 つ つ 「 ス ケ ジ ュ ー ル 」 を 選択 し 、「 新 規 ス ケ ジ ェ ュー ル 」 を クリ ッ ク し て 開始 


"ELI E Sm 


eee., 


タイ トル Y デラ レー ト 形式 > 人 回 実行 日 前 回 の 実 1 
Schedule Report 作成 ヒン ト 表 示 : 有効 [無効 ヘル プ を 起動 
T ジー 
ステ ッ プ 5 レポ ー ト の タイ ブ と 形式 を 選択 
Q タス ク の 詳細 9 TER で 必須 フィ ー ル 
名 前 * 
2 対象 My Web Application Report 
A 絞り 込み 条件 を 選択 
通知 し ポー ト で 利用 で きる デー タ 〈 し コー ド 、 フ コフィー ルド ) の セッ ト は 、 選択 し た し レポート タイ プ ブ に よっ て 決ま り ま す 。 レポ ー ト テン ゴブ レー 
ト の 場合 は 、 付属 の テン ブレ ー ト また | は ユー ザ 定 義 テ ンプ レー ト を 選択 し ます 」 
設定 内 容 を 確認 レポ ー ト タイ づ * 
Web アゴ リケーション レポ ー ト i 
し ポー ト テ ンプ ブレ ー ト 
Web Application Report トノ 
レポ ー ト 形式 
形式 を 選択 * 
Web アー カイ ブ <HTMD i 
レポ ー ト に タグ を 追加 
レポ ー ト に 適用 する タグ を 選択 
適用 され た タグ 
キャ ン セ ル 続行 
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レポ ー ト 
スケ ジュ ー ル レポ ー ト 


簡単 な レポ ー ト 通知 設定 

「 通 知 を 有効 に する 」 を 選択 し 、B メー ル 通 知 を 受け 取る ユー ザ を 指定 する だ け で す 。 レポ ー ト が 完了 する 
た びに 、 レ ポー ト を ダウ ン ロ ー ド する リン ク を 含む アラー ト が ユー ザ に 設定 され ます 。 ア ラー ト は 、 レ ポー 
ト の 生成 が 失敗 し た と き に も 設定 され ます 。 


Schedule Report 作成 


ヒン ト 表 示 : 有効 0) ヘル プ を 起動 X 
ステ ッ プ 4/5 この し レポ ボー トス ケ ジ ュ ー ル の 通知 を 設定 


1 タスク の 詳細 設定 (必須 フィ ー ル ド 


v 通知 を 有効 に する 


アラ ー ト を 受け 取る ユー ザ を 指定 し ます 。 新しい グル ー プ | 


配布 ダル ー ブ 配布 ジル ー ブ を 選択 マ すべ て 削除 


Test (1 E メー ル ) dm | 削除 


35 


ユー ザ の 追加 


ユー ザ の 追加 


いつ で も Qualys サブ プス クリ プシ ョ ン に ユー ザ を 追加 し て 、 そ れ ら の ユー ザ に WAS へ の アク セス 権 を 付与 
する こと が で きま す 。 こ れ を 行う に は 、 マ ネー ジャ ロー ル が 必要 で す 。 


新しい ユー ザ を 追加 する 方 法 

Vulnerability Management 7 アプ リケーション で 提供 され る 「 新 し い ユ ー ザ 」 ワ ー ク フロ ー を 使用 し ます 。 ア 
プリ ケー ショ ン ピ ッ カー か ら 「VM/VMDR」 を 選択 し 、「Users」 項 を 選択 し て ユー ザ を 新規 作成 し ます 。 A 
下 で は 、 こ の 方 法 に つい て 、 順 を 追っ て 説明 し ます 。 


ユー ザ お よび ユー ザ の ロー ル と パー ミッ ショ ン の 表示 

Qualys クラ ウド プラ ッ ト フ ォ ー ム の UI に は 、 サ ブス クリ プション に 含ま れる すべ て の ユー ザ と 、 自 分 の ア 
カウ ント で 有効 に な っ て いる 各種 アプ リケーション に 対す る それ ら ユ ー ザ の 割り 当て 済み の ロー ル と パー 
ミッ ショ ン が 表示 され ます 。 ご 覧 の と お り 、 新 規 に 追加 され た サブ アカ ウン ト (スキ ャ ナ 、 リ ー ダ 、 ユ ニッ 
トマ ネジ ャ な ど ) に は 、WAS へ の アク セス 権 が 自動 的 に 付与 され ませ ん 。 
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w 


WAS へ の アク セス 権 を ユー ザ に 付与 する 方 法 


例え ば 、 ス キャ ナロー ル を 持つ Christina Hans と いう 新しい ユー ザ を 作成 し 、Christina が WAS を 使用 し 
て セキ ュ リ ティ リス ク の 確認 の た め に Web アプ リケーション を スキ ャ ン で きる よう に 設定 する と し ます 。 


Qualys クラ ウド プラ ッ ト フ ォ ー ム で アプ リケーション に 対す る 新しい ユー ザ の パー ミッ ショ ン を 表示 し ま 
d, Administration ユー ティ リティ に 移動 し ます 。 ご覧 の と お り 、 新 し い ユ ー ザ に つい て は 、WAS アプ リ 
ケー ショ ン が リス ト に 表示 され て いま せん 。 


Administration マ | 


meu Ayao 


E] ュー サザ 名 ^ モジ ュー ル 名 at E メ ー ル 前 回 の 更新 日 BROME 
[E quays akt CT te rm 6:3 
i 15 15 2 
a Alex Wa Ms AN Ma 


] quays_ch 
L Au | Christina Hans eschamp@qualys 15 Jul 2017 ー 


Unassigned Business Unit 


新しい ユー ザ を 編集 し ます (ユー ザ を 選択 し て 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー か ら 「 編 集 」 を 選択 し ま 
す ) 。「 ロ ー ル と スコ ー プ 」 で は 、VM/PC スキ ャ ン (サブ スク リプ ショ ン 設 定 に よっ て 異な る ) の た め の 
「SCANNER」 ロ ー ル が ユー ザ に 割り 当て られ て いま す 。 
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Qualys で は 、 ユ ー ザ に WAS パー ミッ ショ ン を 簡単 に 付与 で きる よう に 、 
ル を 用 意 し て いま す 。 事前 定義 


で す 。 


ユー ザ 編集 : Christina Hans (quays_ch) 


編集 モー ド ロー ル と スコ ー プ を 編集 


ユー ザ の 追加 


ilm. 


[前 定義 済み の WAS ユー ザ ロ ー 


済み の ロー ル は [WAS MANAGER], WAS SCANNER」、「WAS USER] 


ュ ユーザ の 詳細 ユー ザ に すべ て の パ バー ミッ ショ ン と スコ ー プ を 許 g ゴ (ユー ザ に は すべ て の 対象 に 対す る フル アク セス が 付与 され ます ) 


BOUTEY, アウ セス 可能 な オブ ジェ クト に 適用 する パー ミッ ショ ン セ ッ ト が 付与 され ます 。 
ブロ ファ イル 設定 


| 新規 ロー ル | 


ーー ses 
—— 


アク ショ ン ロ グ SCANNER 


アカ ウン ト ア クティ ビ テ ィ 


スコ ー プ を 編集 


未 割り 当て の ロー ル を 検索 
未 割り 当て の ロー ル 
UNIT MANAGER 
WAF Manager 
WAS MANAGER 
WAS SCANNER 


WAS USER 


ユー ザ に すべ て の オブ ジェ クト の 表示 アク セス 権 を 許 T (⑩ の パー ミッ ショ ン は ユー ザ の ロー ルド に よっ て 付与 され ます ) 


タグ に よっ て ユー ザ が アク セス で きる アセ ッ ト を 定義 し ます 。 
ダ ロ ー バ ルス コー ブ 


HB Unassigned Busine. 


選択 | 作成 | すべ て 削除 


作成 し た ユー ザ Christina は 「SCANNER」 ロ ー ル (VM/PC H) を 持っ て いる た め 、「WAS SCANNER] 
ロー ル を 彼女 の アカ ウン ト に 追加 し ます 。「WAS SCANNER」 を 選択 し 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー 
か ら 「 表 示 」 を 選択 し ます 。「WAS SCANNER」 パ ー ミ ッ シ ョ ング ルー プ が 表示 され る の で 、 ド リル ダウ ン 
し て ロー ル の 詳細 を 表示 で きま す 。 こ の ロー ル で は 、 例 えば 、Web アプ リケーション を 追加 / 更新 / パー ジ 


する パー ミッ ショ ン が 付与 され ませ ん 。 


ロー ル の 詳細 を 表示 


この ロー ル の パー ミッ ショ ン を 表示 


其 本 情報 
名 前 

WAS SCANNER 
説明 

WAS Scanner 


アク セス 方 法 
UI アク セス が 有効 で す 


付与 モジ ュー ル 


"リリ. Web Application Scanning 
> WAS Configuration パー ミッ ショ ン (12) 
* WAS Schedule パー ミッ ショ ン (3) 


> WAS Scan パー ミッ ショ ン (3) 


「 閉 じ る 」 を クリ ッ ク し て 、 ユ ー ザ 設定 を 編集 し ます 。 
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ユー ザ の 追加 


[WAS SCANNER」 ロ ー ル の 横 に ある 「 追 加 」 リ ンク を クリ ッ ク し て 、 そ の ロー ル を ユー ザ の 割り 当て 済み 
の ロー ル に 追加 し ます 。 割 り 当 て 済み の ロー ル が 以下 の よう に 表示 され ます 。 


ユー ザ 編集 : Christina Hans (quays_ch) 


編集 モー ド ロー ル と スコ ー ブ を 編集 


ユー ザ の 詳細 O ユーザ に すべ て の パー ミッ ショ ン と スコ ー プ を 許 gT (ユー ザ に は すべ て の 対象 に 対す る フル アク セス が 付与 され ます ) 
】 宮 ロ ー ル に より 、 ア クセ ス 可 能 な オプ ジェ クト に 適用 する パー ミッ ショ ン セ ッ ト が 付与 され ます 。 
ブロ ファ イル 設定 > — 
[an ルル | 未 割り 当て の ロー ル を 検索 


€ TO scam a 


アク ショ ン ロ グ > SCANNER READER 追加 


> = WAS SCANNER UNIT MANAGER 追加 
アカ ウン ト ア クティ ビ テ ィ > 

WAF Manager 追加 

WAS MANAGER 追加 


WAS USER 追加 


「 ス コー プ を 編集 」 項 を 編集 し て 、 サ ブス クリ プシ ョ ン に 含ま れる Web アプ リケーション へ の アク セス 権 を 
ユー ザ に 付与 し ます 。 デフ ォ ル ト で は 、 Web アプ リケーション や 他 の WAS 設定 へ の アク セス 権 は ユー ザ に 
一 切 付 与 さ れ ま せん 。 以 下 の い ずれ か の オプ ショ ン を 選択 し ます 。 


特定 の タグ を 割り 当て ます 。 


スコ ー ブ を 編集 


z) ユー ザ に すべ て の オブ ジェ クト の 表示 アク セス 権 を 許 gT ( 他 の パー ミッ ショ ン は ユー ザ の ロー ル に よっ て 付与 され ます ) 
タグ に よっ て ユー ザ が アク セス で きる アセ ッ ト を 定義 し ます 。 
グロ ー パ ルス コー プ 選択 | 作成 | すべ て 削除 目 | 検 索 


bf webApp1 

D ff webApp2 

P f win 2003 

b £ Windows 2000 Targets 

b [| Windows 2003 Targets N 


Win 2003 ※ [| Windows XP x [| Windows Auth x | B Unassigned Busine... x 


完全 な スコ ー プ (すなわち 、 す べ て の タグ ) を 付与 し ます 。 


スコ ー ブ を 編集 


Wi ユー ザ に すべ て の オブ ジェ クト の 表示 アク セス 権 を 許可 ( 他 の パー ミッ ショ ン は ユー ザ の ロー ル に よっ て 付与 され ます ) 


「 保 存 」 を クリ ッ ク し て 、 ユ ー ザ 設定 を 保存 し ます 。 
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ロー ル 管 理 


「 ロ ー ル 管理 」 項 に は 、 サ ブス クリ プシ ョ ン の ロー ル に 関す る すべ て の 情報 が 表示 され 


| Administration {v 


=f アク ジョ ジロ ダグ 


v 


WAS MANAGER 
WAF Manager 
UNIT MANAGER 


SCANNER 


ロー ル ご と に 、 


ロー ル 管 理 


クイ ッ ク ケア クション 
Xon 
編集 


ユー ザ に 追加 
ユー ザ か がら 削除 


バー ミッ ショ ン を 追加 
バー ミッ ショ ン を 削除 


ショ ン を 実行 する こと が で きま す 。 


す 。 


, Administration Y 


ユー ザ アク ショ ン ロ グ 


z|| | プロ パテ ィ を 入力 し て ロー ル を 検索 .. 


使用 され た ロー ル 数 


使用 済み 


未 使用 . 


ロー ル 管 理 


7 23) 


ここ を クリ ッ ク す る と 、 新 し い 
カス タム ロー ル を 作成 で きま す 
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d 


「 新 規 ロ ー ル 」 オ プシ ョ ン を 選択 する と 、 望 み ど お り の パー ミッ ショ ン を 持つ カス タム ロー ル を 作成 で きま 


ユー ザ の 追加 


詳細 を 表示 し て 、 ユ ー ザ に 追加 、 パ ー ミ ッ シ ョ ン を 追加 、 パ ー ミ ッ シ ョ ン を 削除 な どの アク 


A 


例え ば 、「WAS Scanner」 ロ ー ル を 作成 する こと が で きま す 。 


ステ ッ プ 173 ロー ル の 詳細 


デモ ンス トレ ーション 用 


この ロー ル に UI/API へ の アク セス 権 を 付与 し ます 。 


ロー ル の 詳細 で 、 ユ ー ザ の アク セス 方 法 を 選択 し ます 。 


ステ ッ プ 218 この ロー ル の パー ミッ ショ ン を 編集 
1 ロール の 詳細 ママ この アプ リケーション へ の ユー ザ の アク セス 方 法 を 選択 
TS レツ U エ アク セス レツ API アク セス 
o パーミッション v 
3 BEATER この ロー ル が アク セス する モジ ュー ル を 悦 択 。 各 ロー ル に 付与 する パー ミッ ショ ン を # 定 義 で きま す 
モジ ュー ル モジ ュー ル を 検索 し て リス ト へ 追加 Y 
モジ ュー ル 別 ロー ル パ バー ミッション (0) 


この ロー ル に 付与 され た モジ ュー ル は ありま せん 
ロー ル に 追加 する モジ ュー ル を 1 5388 
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続行 


ユー ザ の 追加 


この ロー ル に WAS アプ リケーション へ の アク セス 権 を 付与 し 
メニ ュー か ら WAS アプ リケーション を 選択 し ます 。 


ステ ッ プ 213 この ロー ル の パー ミッ ショ ン を 編集 
1 ロー ル の 詳細 この アプ リケーション へ の ユー ザ の アク セス 方 法 を 選択 
o CURE e UI アク セス 

ハー ミッ ショ ン 


3, 雪害 FI 守 を 確認 この ロー ル が アク セス する モジ ュー ル を 選択 。 作 ロー ル に 付与 する パー ミッ ショ ン を 定義 で きま す 


モジ ュー ル | js] 


11 件 中 11 件 


モジ ュー ル 史 ロール! Continuous Monitoring 
CM 新た な セキ ュ リ ティ リス ク の 監視 と アラ 
Eg 


Malware Detection 
Web サイ ト の マル ウェ アリ スク を 特定 し て 管理 し ます 


Security Assessment Questionnaire 
診 束 を 活用 し て 、 リス クウ と コン プラ イア ソス 評価 を 自動 
化し ます 


Threat Protection 

Add threat intelligence feed to your existing 
AssetView 

Web Application Firewall 

Hi de30L. HERO Web アプ リケーション を 保護 し 
id. 

Web Application Scanning 


Web アプ リケーション の セキ ュ リ ティ リス ク を 待 定 し て 管 
murs. 


Reporting 
し ポー ト 


この ロー ル の パー ミッ ショ ン を 編集 


CS Web Application Scanning 


Y WAS Asset パー ミッ ショ ン (8/8) 
Z Purge Web Asset 
ツ Create Web Asset 
I Edit Web Asset 
iZ! Delete Web Asset 
ツ View/ download Selenium Script sensitive contents 
lZ! Edit Web Application URL 
!*! Select and Lock/Unlock Scanner Appliance 


レツ Manage Malware Monitoring 


* Scanner Appliance パー ミッ ショ ン (1/1) 


> WAS Scan パー ミッ ショ ン (3/3) 
と WAS Schedule パー ミッ ショ ン (3/3) 


> WAS Configuration バー ミッ ショ ン (22/22) 


ユー ザ ア カ ウ ント を 編集 し て 、 ロ ー ル を 割り 当て ます 。 
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ます 。「 パ ー 


ヒン ト 表 示 : 有効 | 無効 


ノル 


ユー ザ の 追加 


表示 され た 


ヘル プ の 使用 


ヘル プ の 使用 


Qualys は 充実 し た サポ ー ト を 提供 し ます 。 不 明 な 点 に は 、 オ ン ラ イン ドキ ュ メ ント 、 電 話 サ ポー ト 、 お よ 
Q E メー ル に よる 直接 サポ ー ト を 通じ て 、 可 能 な 限り 迅速 に お 答え し ます 。 弊社 は 24 時 間 年 中 無休 で サ 
ポー ト を 提供 し ます 。 オン ライ ン サ ポー ト の 情報 に つい て は 、www.qualys.com/support/ を ご 覧 くだ さい 。 


WAS コミ ュ ニ ティ 
WAS に 関連 する 最新 機能 、 議 論 、 ド キュ メン ト 、 ビ デオ の 詳細 に つい て は 、Qualys WAS Community ペー 


ジ に アク セス し て くだ さい 。 
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